FontOnLake novo malware atacando sistemas Linux

FontOnLake novo malware atacando sistemas Linux. O novo malware modular do Linux foi detectado recentemente pela ESET e é apelidado de FontOnLake. E esse malware tem muitos recursos, um deles são os “módulos bem projetados”.

Esse recurso é muito bem projetado e está continuamente sendo atualizado com uma ampla gama de habilidades, o que geralmente indica um estágio de desenvolvimento ativo.

No entanto, o código malicioso foi utilizado pelos agentes da ameaça para negociar todos os dados dos sistemas infectados e desempenhos como um servidor proxy.

À espreita sob utilitários legítimos

O FontOnLake é bastante perigoso por natureza, pois o malware possui diferentes módulos que se comunicam entre si e simplesmente permitem a comunicação com os operadores de malware, depois de fazer isso, ele rouba dados confidenciais e se mantém oculto no sistema.

O FontOnLake é provavelmente praticado em ataques direcionados por operadores que são adequadamente cuidadosos ao utilizar os servidores exclusivos de comando e controle (C2) para amostras e diferentes portas não padrão.

Componentes do FontOnLake

Os componentes do FontOnLake foram divididos em três grupos a seguir, que geralmente se comunicam entre si, e aqui os mencionamos abaixo: –

• Aplicativos Trojanized 
• Backdoors 
• Rootkits

Aplicativos Trojanized e Rootkits

Neste malware , os atores da ameaça usaram vários aplicativos trojanizados para carregar backdoor personalizado, bem como módulos de rootkit. Todos os aplicativos que estão presentes neste malware servem como um método de constância

Uma vez que eles são usados ​​principalmente em inicializações, e não só isso, mesmo todos os arquivos trojanizados são utilitários Linux padrão.

Existem duas versões diferentes do rootkit e essas são usadas apenas uma de cada vez. No entanto, existem algumas funções semelhantes de ambos os rootkit que estavam sendo descobertas e aqui as mencionamos abaixo: –

• Ocultação de processo
• Esconder arquivo
• Escondendo-se
• Escondendo conexões de rede
• Expor as credenciais coletadas ao backdoor
• Executando encaminhamento de porta
• Recepção de pacotes mágicos

Backdoors

Nesse malware, existem três backdoors diferentes que são escritas em C ++ e todas as backdoors exfiltram os dados que foram coletados. Todos esses backdoors diferentes não são aplicados juntos em um sistema negociado. 

Além disso, todos os backdoors usam comandos de pulsação personalizados que provavelmente são enviados e recebidos regularmente para que a conexão permaneça ativa.

Os operadores deste malware são bem treinados e conhecem a forma exata de implementar o ataque. Embora a maioria dos recursos do malware sejam especificamente projetados para ocultar a presença, retransmitir informações e implementar o acesso backdoor.

Fonte: GBHackers

Veja também:

• Apple o mito do sistema seguro e como a segurança e afetada
• VirusTotal lança relatório de ransomware baseado na análise de 80 milhões de amostras
• 71 razões para atualizar o Windows o mais rápido possível.
• Apple confirma exploração de zero day do iOS 15
• O que é um CISO como serviço (CISOaaS)?
• Advanced Persistent Threat (APT – Ameaça Persistente Avançada)
• Fortinet vence o prêmio “Programa de Certificação Profissional do Ano”
• BGP (Border Gateway Protocol)
• ANPD lança Guia de Proteção de Dados para DPOs de pequenas empresas.
• CISA lança nova ferramenta de autoavaliação de ransomware
• Atualização de DNS afeta Facebook e diversos outros serviços na Internet
• FinSpy infecta por meio de bootkits resistentes à reinstalação do SO