FontOnLake novo malware atacando sistemas Linux

FontOnLake novo malware atacando sistemas Linux. O novo malware modular do Linux foi detectado recentemente pela ESET e é apelidado de FontOnLake. E esse malware tem muitos recursos, um deles são os “módulos bem projetados”.

Esse recurso é muito bem projetado e está continuamente sendo atualizado com uma ampla gama de habilidades, o que geralmente indica um estágio de desenvolvimento ativo.

No entanto, o código malicioso foi utilizado pelos agentes da ameaça para negociar todos os dados dos sistemas infectados e desempenhos como um servidor proxy.

À espreita sob utilitários legítimos

O FontOnLake é bastante perigoso por natureza, pois o malware possui diferentes módulos que se comunicam entre si e simplesmente permitem a comunicação com os operadores de malware, depois de fazer isso, ele rouba dados confidenciais e se mantém oculto no sistema.

O FontOnLake é provavelmente praticado em ataques direcionados por operadores que são adequadamente cuidadosos ao utilizar os servidores exclusivos de comando e controle (C2) para amostras e diferentes portas não padrão.

Componentes do FontOnLake

Os componentes do FontOnLake foram divididos em três grupos a seguir, que geralmente se comunicam entre si, e aqui os mencionamos abaixo: –

  • Aplicativos Trojanized 
  • Backdoors 
  • Rootkits

Aplicativos Trojanized e Rootkits

Neste malware , os atores da ameaça usaram vários aplicativos trojanizados para carregar backdoor personalizado, bem como módulos de rootkit. Todos os aplicativos que estão presentes neste malware servem como um método de constância

Uma vez que eles são usados ​​principalmente em inicializações, e não só isso, mesmo todos os arquivos trojanizados são utilitários Linux padrão.

Existem duas versões diferentes do rootkit e essas são usadas apenas uma de cada vez. No entanto, existem algumas funções semelhantes de ambos os rootkit que estavam sendo descobertas e aqui as mencionamos abaixo: –

  • Ocultação de processo
  • Esconder arquivo
  • Escondendo-se
  • Escondendo conexões de rede
  • Expor as credenciais coletadas ao backdoor
  • Executando encaminhamento de porta
  • Recepção de pacotes mágicos

Backdoors

Nesse malware, existem três backdoors diferentes que são escritas em C ++ e todas as backdoors exfiltram os dados que foram coletados. Todos esses backdoors diferentes não são aplicados juntos em um sistema negociado. 

Além disso, todos os backdoors usam comandos de pulsação personalizados que provavelmente são enviados e recebidos regularmente para que a conexão permaneça ativa.

Os operadores deste malware são bem treinados e conhecem a forma exata de implementar o ataque. Embora a maioria dos recursos do malware sejam especificamente projetados para ocultar a presença, retransmitir informações e implementar o acesso backdoor.

Fonte: GBHackers

Veja também:

Sobre mindsecblog 1759 Artigos
Blog patrocinado por MindSec Segurança e Tecnologia da Informação Ltda.

7 Trackbacks / Pingbacks

  1. Hackers de ransomware adoram um fim de semana prolongado
  2. Segurança da API impede o lançamento de novos aplicativos
  3. Aprovado Regulamento do Processo de Fiscalização e Administrativo Sancionador da ANPD
  4. Extorsão Quíntupla é a nova realidade do ransomware
  5. Forrester prevê fuga em massa da segurança cibernética
  6. Compreendendo os fundamentos da segurança de API
  7. Ataques API são subdetectados e subnotificados

Deixe sua opinião!