Los investigadores advierten sobre el malware de rootkit FontOnLake dirigido a sistemas Linux
Los investigadores de ciberseguridad han detallado una nueva campaña que probablemente se dirija a empresas en el sudeste asiático con malware de Linux previamente no detectado diseñado para permitir el acceso remoto a sus operadores, recopilar credenciales adicionales y actuar como un servidor proxy.
La familia de malware, llamada «FontOnLake«de la empresa eslovaca de ciberseguridad ESET, se dice que contiene» módulos bien diseñados «que se actualizan continuamente con nuevas funciones, lo que indica una fase activa de desarrollo. Los ejemplos subidos a VirusTotal indican la posibilidad de que los primeros intrusos se aprovechen de esto La amenaza tendrá lugar en mayo de 2020.
Avast y Lacework Labs están rastreando el mismo malware con el sobrenombre de HCRootkit.
«La naturaleza engañosa de las herramientas de FontOnLake, combinada con un diseño avanzado y una baja prevalencia, sugiere que se utilizan en ataques dirigidos», dijo el investigador de ESET Vladislav Hrčka. “Para recopilar datos o realizar otra actividad maliciosa, esta familia de malware utiliza binarios legítimos modificados que se adaptan para cargar componentes adicionales. De hecho, la presencia de FontOnLake siempre va acompañada de un rootkit para ocultar su existencia. Estos binarios se utilizan a menudo en sistemas Linux y también pueden servir como mecanismo de persistencia «.
El conjunto de herramientas de FontOnLake consta de tres componentes que consisten en versiones troyanizadas de utilidades legítimas de Linux que se utilizan para cargar rootkits en modo kernel y puertas traseras en modo usuario, todos los cuales se comunican entre sí a través de archivos virtuales. Los propios implantes basados en C ++ fueron diseñados para monitorear sistemas, ejecutar comandos sigilosamente en redes y exfiltrar credenciales de cuenta.
Una segunda permutación de la puerta trasera también ofrece la posibilidad de actuar como proxy, manipular archivos y descargar cualquier archivo, mientras que una tercera variante también puede ejecutar scripts de Python y comandos de shell además de las funciones de las otras dos puertas traseras.
ESET dijo que encontró dos versiones diferentes del rootkit de Linux, que se basa en un proyecto de código abierto llamado Suterusu y tiene superposiciones en la funcionalidad, que incluye ocultar procesos, archivos, conexiones de red y a sí mismo, mientras que también realiza operaciones de archivos y puede extraer y ejecutar la puerta trasera del modo de usuario.
Actualmente se desconoce cómo los atacantes ingresaron por primera vez a la red, pero la firma de ciberseguridad determinó que el actor de amenazas detrás de los ataques es «demasiado cuidadoso» para no dejar rastro al confiar en varias funciones únicas de comando y control que deja (C2) el servidor con diferentes puertos no estándar. Todos los servidores C2 observados en los artefactos VirusTotal ya no están activos.
«Su tamaño y diseño avanzado sugieren que los autores están familiarizados con la ciberseguridad y que estas herramientas podrían reutilizarse en campañas futuras», dijo Hrčka. «Dado que la mayoría de las funciones están diseñadas solo para ocultar su presencia, enrutar las comunicaciones y permitir el acceso por la puerta trasera, creemos que estas herramientas se utilizan principalmente para mantener una infraestructura que sirve para otros propósitos maliciosos desconocidos».
Esta web utiliza cookies para que podamos ofrecerte la mejor experiencia de usuario posible. La información de las cookies se almacena en tu navegador y realiza funciones tales como reconocerte cuando vuelves a nuestra web o ayudar a nuestro equipo a comprender qué secciones de la web encuentras más interesantes y útiles.
Las cookies estrictamente necesarias tiene que activarse siempre para que podamos guardar tus preferencias de ajustes de cookies.
Estas Cookies son:
Sesión de usuario
Comentarios
Seguridad
Aceptación de Cookies
Si desactivas esta cookie no podremos guardar tus preferencias. Esto significa que cada vez que visites esta web tendrás que activar o desactivar las cookies de nuevo.
