FontOnLake es el nombre de una familia de malware que se está utilizando en ataques dirigidos contra sistemas Linux y que ha sido recientemente descubierta por investigadores de la firma de ciberseguridad ESET.
"Utiliza módulos personalizados y bien diseñados", que "están en constante desarrollo y brindan acceso remoto a los operadores, recopilan credenciales y sirven como un servidor proxy", ha advertido ESET en una publicación de su blog en la que resume los hallazgos que ha realizado y compartido en un informe técnico.
El primer archivo conocido de FontOnLake apareció en VirusTotal en mayo del año pasado y se cargaron otras muestras a lo largo del año, pero ninguno de los servidores de comando y control (C&C) vinculados a estos archivos estaban activos por lo que los investigadores consideran que podrían haberse deshabilitado debido a la carga. Además, apuntan que la ubicación de su servidor de C&C y los países desde los que se cargaron las muestras en VirusTotal pueden indicar que los objetivos de los atacantes incluyen el sudeste asiático.
"Creemos que los operadores de FontOnLake son particularmente cautelosos ya que casi todas las muestras vistas usan servidores C&C únicos con diferentes puertos no estándar. Los autores utilizan principalmente C / C ++ y varias bibliotecas de terceros como 'Boost', 'Poco' o 'Protobuf'", indica la compañía.
Los componentes conocidos de "FontOnLake"
Si bien ESET todavía está investigando FontOnLake, señala que entre sus componentes conocidos se pueden dividir en tres grupos diferentes que interactúan entre sí.
- Aplicaciones troyanizadas: binarios legítimos modificados que se ajustan para cargar más componentes, recopilar datos o realizar otras actividades maliciosas.
- Puertas traseras: componentes en modo usuario que sirven como punto principal de comunicación para sus operadores.
- Rootkits: componentes en modo kernel que en su mayoría ocultan y disfrazan su presencia, ayudan con las actualizaciones o proporcionan puertas traseras de respaldo.
"Lo más probable es que los parches de las aplicaciones se apliquen a nivel de código fuente, lo que indica que las aplicaciones deben haber sido compiladas y reemplazadas por las originales. Todos los archivos troyanizados son utilidades estándar de Linux y cada uno sirve como método de persistencia porque normalmente se ejecutan al iniciar el sistema", indica ESET, que admite que por el momento se desconoce la forma inicial en que estas aplicaciones troyanizadas llegan a sus víctimas.
Los investigadores encontraron múltiples aplicaciones troyanizadas, que principalmente se usan para cargar módulos personalizados de puerta trasera o rootkit. También descubrieron tres puertas traseras, que están escritas en C ++, crean un puente al mismo C2 para la recopilación de datos y, además, utilizan "comandos de latido" personalizados que se envían y reciben periódicamente para mantener activa la conexión.
"Las empresas o personas que deseen proteger sus terminales o servidores de Linux de esta amenaza deben utilizar un producto de seguridad de varias capas y una versión actualizada de su distribución de Linux; Algunas de las muestras que hemos analizado fueron creadas específicamente para CentOS y Debian", subraya la firma de ciberseguridad.