Les chercheurs en sécurité ont découvert une nouvelle, famille de logiciels malveillants inédite ciblant les systèmes Linux. Surnommé FontOnLake par les chercheurs d'ESET, et HCRootkit par Avast et Lacework, le malware a des capacités de rootkit, conception avancée et faible prévalence, suggérant qu'il est principalement destiné aux attaques ciblées.
en relation: Paysage des menaces Linux 2021: Malwares et vulnérabilités les plus répandus
Kit de démarrage / Rootkit FontOnLake ciblant les systèmes Linux
Selon les chercheurs, le rootkit FontOnLake est continuellement mis à jour avec de nouvelles fonctionnalités, ce qui signifie qu'il est en développement actif. Des échantillons de VirusTotal du malware révèlent que sa première utilisation dans la nature remonte à mai 2020. Il semble que le malware cible des entités en Asie du Sud-Est, mais d'autres régions pourraient bientôt être ajoutées à sa liste de cibles.
Le malware accorde un accès à distance à ses opérateurs, et pourrait être utilisé pour la collecte d'informations d'identification et comme serveur proxy.
Lacework Labs a récemment examiné le nouveau malware qui a été partagé pour la première fois par Avast. Les chercheurs’ l'analyse est basée sur les conclusions d'Avast ainsi que sur ses propres recherches sur cette nouvelle famille de logiciels malveillants. Selon l'analyse de Lacework, “le module du noyau comme l'a souligné Avast est le rootkit open-source "Sutersu". Ce rootkit prend en charge une large version du noyau, ainsi que la prise en charge de plusieurs architectures, y compris x86, x86_64, et ARM. Sutersu prend en charge le fichier, port, et processus de masquage, comme on peut s'y attendre d'un rootkit. Sutersu prend également en charge les fonctionnalités au-delà du masquage des processus et des fichiers sous la forme de modules supplémentaires spécifiés lors de la compilation.”
Le malware contient également des modules supplémentaires, y compris un enregistreur de frappe, un module qui télécharge et exécute un binaire, et un module ICMP pour surveiller “pour des octets magiques spécifiques avant de déclencher un événement.”
Ces modules peuvent être utilisés ensemble pour déclencher le téléchargement et l'exécution d'un binaire lorsqu'un paquet ICMP spécifique est reçu, mais ils peuvent aussi être utilisés indépendamment.
Plus de détails techniques sont disponibles dans Lacework's rédaction technique détaillée.
En mai 2021, Qihoo 360 Les chercheurs en sécurité de NETLAB ont découvert un autre rootkit invisible avec des capacités de porte dérobée pour Linux, et nommé son compte-gouttes Poisson de face. La porte dérobée pourrait télécharger des informations sur l'appareil, voler les identifiants de l'utilisateur, rebond Shell, et exécuter des commandes arbitraires.
Milena Dimitrova
Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim
Suivez-moi: