Pesquisadores de segurança descobriram um novo, família de malware nunca vista, voltada para sistemas Linux. Apelidado de FontOnLake por pesquisadores da ESET, e HCRootkit da Avast e Lacework, o malware tem recursos de rootkit, design avançado e baixa prevalência, sugerindo que se destina principalmente a ataques direcionados.
relacionado: Cenário de ameaças do Linux 2021: Malware e vulnerabilidades mais prevalentes
HCRootkit / FontOnLake Rootkit Targeting Linux Systems
De acordo com pesquisadores, o rootkit FontOnLake está continuamente sendo atualizado com novos recursos, o que significa que está em desenvolvimento ativo. Amostras do VirusTotal do malware revelam que seu primeiro uso na natureza remonta a maio 2020. Parece que o malware tem como alvo entidades no Sudeste Asiático, mas outras regiões podem em breve ser adicionadas à sua lista de alvos.
O malware concede acesso remoto aos seus operadores, e pode ser usado para coleta de credenciais e como um servidor proxy.
Lacework Labs examinou recentemente o novo malware que foi compartilhado pela primeira vez pelo Avast. Os pesquisadores’ a análise é baseada nas descobertas do Avast, bem como em suas próprias pesquisas sobre esta nova família de malware. De acordo com a análise do Lacework, “o módulo do kernel, conforme apontado pelo Avast, é o rootkit de código aberto “Sutersu”. Este rootkit tem amplo suporte à versão do kernel, bem como suporte a múltiplas arquiteturas, incluindo x86, x86_64, e ARM. Sutersu suporta arquivo, porta, e esconder o processo, como seria de esperar de um rootkit. Sutersu também oferece suporte a funcionalidades além da ocultação de processos e arquivos na forma de módulos adicionais que são especificados durante o tempo de compilação.”
O malware também contém módulos adicionais, incluindo um keylogger, um módulo que baixa e executa um binário, e um módulo ICMP para monitorar “para bytes mágicos específicos antes de acionar um evento.”
Esses módulos podem ser usados juntos para acionar o download e a execução de um binário quando um pacote ICMP específico é recebido, mas também podem ser usados independentemente.
Mais detalhes técnicos estão disponíveis em Lacework’s redação técnica detalhada.
Em maio 2021, Qihoo 360 Os pesquisadores de segurança da NETLAB descobriram outro rootkit invisível com recursos de backdoor para Linux, e nomeou seu conta-gotas Facefish. O backdoor pode carregar informações do dispositivo, roubar credenciais do usuário, bounce Shell, e executar comandos arbitrários.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: