Los investigadores informan que la ubicación de su servidor C2 y los países donde se cargaron las muestras pueden indicar que los objetivos incluyen el sudeste asiático. Una familia de malware previamente desconocida denominada FontOnLake está apuntando a sistemas que ejecutan Linux, encontraron los investigadores de ESET.
FontOnLake utiliza "módulos personalizados y bien diseñados", escribió el analista de malware Vladislav Hrčka en una publicación de blog sobre el hallazgo. Los módulos utilizados por la familia de malware "están en constante desarrollo y brindan acceso remoto a los operadores, recopilan credenciales y sirven como un servidor proxy", escribió.
El primer archivo FontOnLake conocido apareció en VirusTotal en mayo de 2020 y se cargaron otras muestras durante todo el año. Tanto la ubicación de su servidor de comando y control como los países desde los que se cargaron las muestras en VirusTotal pueden indicar que los objetivos de los atacantes incluyen el sudeste asiático.
"Creemos que los operadores de FontOnLake son particularmente cautelosos ya que casi todas las muestras vistas utilizan servidores [C2] únicos con diferentes puertos no estándar", escribió Hrčka.
Los componentes conocidos de la familia de malware incluyen aplicaciones troyanizadas, puertas traseras y rootkits, que interactúan entre sí. Los investigadores encontraron múltiples aplicaciones troyanizadas, que se utilizan principalmente para cargar módulos personalizados de puerta trasera o rootkit. Las tres puertas traseras descubiertas están escritas en C ++; la funcionalidad que tienen en común es que cada uno extrae las credenciales recopiladas y su historial de comandos bash al servidor C2. Los investigadores encontraron dos versiones "marginalmente diferentes" del rootkit, utilizadas una a la vez, en cada una de las tres puertas traseras.
Más información: https://somoslibres.org/index.php/16-nieuws/seguridad/10406-el-malware-fontonlake-ataca-los-sistemas-linux-en-ataques-dirigidos