in

Los investigadores advierten sobre el malware de rootkit FontOnLake dirigido a sistemas Linux


Malware de Linux

Los investigadores de ciberseguridad han detallado una nueva campaña que probablemente se dirija a empresas en el sudeste asiático con malware de Linux previamente no detectado diseñado para permitir el acceso remoto a sus operadores, recopilar credenciales adicionales y actuar como un servidor proxy.

La familia de malware, llamada «FontOnLake«de la empresa eslovaca de ciberseguridad ESET, se dice que contiene» módulos bien diseñados «que se actualizan continuamente con nuevas funciones, lo que indica una fase activa de desarrollo. Los ejemplos subidos a VirusTotal indican la posibilidad de que los primeros intrusos se aprovechen de esto La amenaza tendrá lugar en mayo de 2020.

Avast y Lacework Labs están rastreando el mismo malware con el sobrenombre de HCRootkit.

Copias de seguridad automáticas de GitHub

«La naturaleza engañosa de las herramientas de FontOnLake, combinada con un diseño avanzado y una baja prevalencia, sugiere que se utilizan en ataques dirigidos», dijo el investigador de ESET Vladislav Hrčka. “Para recopilar datos o realizar otra actividad maliciosa, esta familia de malware utiliza binarios legítimos modificados que se adaptan para cargar componentes adicionales. De hecho, la presencia de FontOnLake siempre va acompañada de un rootkit para ocultar su existencia. Estos binarios se utilizan a menudo en sistemas Linux y también pueden servir como mecanismo de persistencia «.

El conjunto de herramientas de FontOnLake consta de tres componentes que consisten en versiones troyanizadas de utilidades legítimas de Linux que se utilizan para cargar rootkits en modo kernel y puertas traseras en modo usuario, todos los cuales se comunican entre sí a través de archivos virtuales. Los propios implantes basados ​​en C ++ fueron diseñados para monitorear sistemas, ejecutar comandos sigilosamente en redes y exfiltrar credenciales de cuenta.

Malware de Linux

Una segunda permutación de la puerta trasera también ofrece la posibilidad de actuar como proxy, manipular archivos y descargar cualquier archivo, mientras que una tercera variante también puede ejecutar scripts de Python y comandos de shell además de las funciones de las otras dos puertas traseras.

ESET dijo que encontró dos versiones diferentes del rootkit de Linux, que se basa en un proyecto de código abierto llamado Suterusu y tiene superposiciones en la funcionalidad, que incluye ocultar procesos, archivos, conexiones de red y a sí mismo, mientras que también realiza operaciones de archivos y puede extraer y ejecutar la puerta trasera del modo de usuario.

Prevenir filtraciones de datos

Actualmente se desconoce cómo los atacantes ingresaron por primera vez a la red, pero la firma de ciberseguridad determinó que el actor de amenazas detrás de los ataques es «demasiado cuidadoso» para no dejar rastro al confiar en varias funciones únicas de comando y control que deja (C2) el servidor con diferentes puertos no estándar. Todos los servidores C2 observados en los artefactos VirusTotal ya no están activos.

«Su tamaño y diseño avanzado sugieren que los autores están familiarizados con la ciberseguridad y que estas herramientas podrían reutilizarse en campañas futuras», dijo Hrčka. «Dado que la mayoría de las funciones están diseñadas solo para ocultar su presencia, enrutar las comunicaciones y permitir el acceso por la puerta trasera, creemos que estas herramientas se utilizan principalmente para mantener una infraestructura que sirve para otros propósitos maliciosos desconocidos».



What do you think?

Written by Helen Lafayette

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

GIPHY App Key not set. Please check settings

Google advierte a 14.000 usuarios de Gmail que son atacados por piratas informáticos rusos

Las estafas de pagos automáticos autorizadas en el Reino Unido aumentaron un 71% en la primera mitad de 2021, recaudando £ 355 millones