Una marca de malware que anteriormente no se había detectado se está utilizando en ataques dirigidos contra sistemas Linux. Según los investigadores de la firma de ciberseguridad ESET, el malware, llamado FontOnLake , parece estar bien diseñado y, mientras se encuentra en desarrollo activo, ya incluye opciones de acceso remoto, funciones de robo de credenciales y es capaz de inicializar servidores proxy.
Las muestras de FontOnLake aparecieron por primera vez en VirusTotal en mayo de 2020, pero los servidores de comando y control (C2) vinculados a estos archivos están deshabilitados, lo que, según los investigadores, puede deberse a las cargas.
Los investigadores agregaron que los sistemas Linux atacados por el malware pueden estar ubicados en áreas que incluyen el sudeste asiático.
ESET cree que los operadores son "demasiado cautelosos" a la hora de ser capturados y sus actividades expuestas, ya que casi todas las muestras obtenidas utilizan diferentes direcciones de servidor C2 y una variedad de puertos. Además, los autores del malware utilizan C/C++ y una serie de bibliotecas de terceros como Boost y Protobuf.
FontOnLake es un malware modular que utiliza binarios personalizados para infectar una máquina y ejecutar código malicioso. Si bien ESET todavía está investigando FontOnLake, la empresa dice que entre sus componentes conocidos se encuentran las aplicaciones troyanizadas que se utilizan para cargar puertas traseras, rootkits y recopilar información.
"Lo más probable es que los parches de las aplicaciones se apliquen a nivel de código fuente, lo que indica que las aplicaciones deben haber sido compiladas y reemplazadas a las originales", dice el equipo.
En total, también se han conectado tres puertas traseras a FontOnLake. Las puertas traseras están escritas en C++ y crean un puente al mismo C2 para la exfiltración de datos. Además, pueden emitir comandos de "latido" para mantener activa esta conexión.
FontOnLake siempre se combina con un rootkit en modo kernel para mantener la persistencia en una máquina Linux infectada. Según Avast , el rootkit se basa en el proyecto de código abierto Suterusu.
Tencent y Lacework Labs también han publicado investigaciones sobre lo que parece ser la misma cepa de malware. ESET también ha publicado un documento técnico (.PDF) que examina FontOnLake.