I ricercatori di sicurezza hanno scoperto un nuovo, famiglia di malware mai vista prima che prende di mira i sistemi Linux. Soprannominato FontOnLake dai ricercatori ESET, e HCRootkit di Avast e Lacework, il malware ha capacità di rootkit, design avanzato e bassa prevalenza, suggerendo che è principalmente pensato per attacchi mirati.
Correlata: Panorama delle minacce di Linux 2021: Malware e vulnerabilità più diffusi
HCRootkit / Rootkit FontOnLake mirato ai sistemi Linux
Secondo i ricercatori, il rootkit FontOnLake viene continuamente aggiornato con nuove funzionalità, nel senso che è in attivo sviluppo. I campioni VirusTotal del malware rivelano che il suo primo utilizzo in natura risale a maggio 2020. Sembra che il malware prenda di mira entità nel sud-est asiatico, ma altre regioni potrebbero presto essere aggiunte alla sua lista di obiettivi.
Il malware garantisce l'accesso remoto ai suoi operatori, e potrebbe essere utilizzato per la raccolta delle credenziali e come server proxy.
Lacework Labs ha recentemente esaminato il nuovo malware condiviso per la prima volta da Avast. I ricercatori’ l'analisi si basa sui risultati di Avast e sulla propria ricerca su questa nuova famiglia di malware. Secondo l'analisi di Lacework, “il modulo del kernel come sottolineato da Avast è il rootkit open source “Sutersu”. Questo rootkit ha un ampio supporto per la versione del kernel, oltre a supportare più architetture tra cui x86, x86_64, e ARM. Sutersu supporta i file, porto, e processo di occultamento, come ci si aspetterebbe da un rootkit. Sutersu supporta anche funzionalità oltre al nascondimento di processi e file sotto forma di moduli aggiuntivi che vengono specificati durante la fase di compilazione.”
Il malware contiene anche moduli aggiuntivi, incluso un keylogger, un modulo che scarica ed esegue un binario, e un modulo ICMP per monitorare “per byte magici specifici prima di attivare un evento.”
Questi moduli possono essere utilizzati insieme per attivare il download e l'esecuzione di un binario quando viene ricevuto un pacchetto ICMP specifico, ma possono anche essere usati indipendentemente.
Maggiori dettagli tecnici sono disponibili in Lacework's resoconto tecnico dettagliato.
A maggio 2021, Qihoo 360 I ricercatori della sicurezza NETLAB hanno scoperto un altro rootkit invisibile con funzionalità backdoor per Linux, e chiamò il suo contagocce pesce faccia. La backdoor potrebbe caricare le informazioni sul dispositivo, rubare le credenziali dell'utente, rimbalzare Shell, ed eseguire comandi arbitrari.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: