Los investigadores de seguridad han descubierto una nueva, familia de malware nunca antes vista dirigida a sistemas Linux. Apodado FontOnLake por los investigadores de ESET, y HCRootkit de Avast y Lacework, el malware tiene capacidades de rootkit, diseño avanzado y baja prevalencia, sugiriendo que está destinado principalmente a ataques dirigidos.
Relacionado: Panorama de amenazas de Linux 2021: Malware y vulnerabilidades más frecuentes
HCRootkit / FontOnLake Rootkit dirigido a sistemas Linux
Según los investigadores, el rootkit de FontOnLake se actualiza continuamente con nuevas funciones, lo que significa que está en desarrollo activo. VirusTotal muestras del malware revelan que su primer uso en la naturaleza se remonta a mayo 2020. Parece que el malware se dirige a entidades del sudeste asiático., pero es posible que pronto se agreguen otras regiones a su lista de objetivos.
El malware otorga acceso remoto a sus operadores, y podría usarse para la recolección de credenciales y como servidor proxy.
Lacework Labs examinó recientemente el nuevo malware que fue compartido por primera vez por Avast. Los investigadores’ El análisis se basa en los hallazgos de Avast, así como en su propia investigación sobre esta nueva familia de malware.. Según el análisis de Lacework, “el módulo del kernel como lo señaló Avast es el rootkit de código abierto "Sutersu". Este rootkit tiene un amplio soporte de versiones de kernel, además de admitir múltiples arquitecturas, incluido x86, x86_64, y ARM. Sutersu admite archivo, puerto, y proceso de ocultación, como cabría esperar de un rootkit. Sutersu también admite la funcionalidad más allá de la ocultación de procesos y archivos en forma de módulos adicionales que se especifican durante el tiempo de compilación.”
El malware también contiene módulos adicionales., incluyendo un keylogger, un módulo que descarga y ejecuta un binario, y un módulo ICMP para monitorear “para bytes mágicos específicos antes de desencadenar un evento.”
Estos módulos se pueden usar juntos para activar la descarga y ejecución de un binario cuando se recibe un paquete ICMP específico., pero también se pueden utilizar de forma independiente.
Más detalles técnicos están disponibles en Lacework informe técnico detallado.
En Mayo 2021, Qihoo 360 Los investigadores de seguridad de NETLAB descubrieron otro rootkit invisible con capacidades de puerta trasera para Linux, y nombró a su cuentagotas Pez cara. La puerta trasera podría cargar información del dispositivo, robar credenciales de usuario, rebotar Shell, y ejecutar comandos arbitrarios.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: