FontOnLake – Sistemas Linux de Ataque de Malware Anteriormente Desconhecidos

Views: 324
0 0
Read Time:1 Minute, 58 Second

Um novo malware modular do Linux foi recentemente detectado pela ESET que é apelidado de FontOnLake. E esse malware tem muitos recursos, um deles são “módulos bem projetados”.

Esse recurso é muito bem projetado e está sendo continuamente atualizado com uma ampla gama de habilidades, o que geralmente indica um estágio de desenvolvimento ativo.

No entanto, o código malicioso foi utilizado pelos atores da ameaça para negociar todos os dados de sistemas infectados e desempenhos como um servidor proxy.

À espreita sob utilidades legítimas

FontOnLake é bastante perigoso por natureza, pois o malware tem diferentes módulos que se comunicam entre si e simplesmente permitem a comunicação com operadores de malware, depois de fazer isso rouba dados confidenciais e se mantém oculto no sistema.

FontOnLake provavelmente é praticado em ataques direcionados por operadores que são adequadamente cuidadosos para utilizar os servidores exclusivos de comando e controle (C2) para amostras e diferentes portas não padrão.

Componentes do FontOnLake

Os componentes do FontOnLake foram divididos em três grupos a seguir que geralmente se comunicam entre si, e aqui os mencionamos abaixo:-

  • Aplicativos Trojanizados
  • Backdoors
  • Rootkits

Aplicativos Trojanizados e Rootkits

Neste malware, os atores da ameaça usaram vários aplicativos trojanizados para carregar backdoor personalizados, bem como módulos rootkit. Todos os aplicativos que estão presentes neste malware servem como um método de constância.

Como eles são usados principalmente em start-ups, e não apenas isso, até todos os arquivos trojanizados são utilitários Linux padrão.

Existem duas versões diferentes do rootkit, e essas são usadas apenas uma de cada vez. No entanto, existem algumas funções semelhantes do rootkit que estavam sendo descobertas, e aqui as mencionamos abaixo:-

  • Ocultação do processo
  • Oculto de arquivos
  • Escondendo-se
  • Ocultando conexões de rede
  • Expondo as credenciais coletadas ao seu backdoor
  • Executando encaminhamento de portas
  • Recepção de pacotes mágicos

Backdoors

Neste malware, existem três backdoors diferentes que são escritos em C++, e todos os backdoors exfiltram os dados coletados. Todos esses backdoors diferentes não são aplicados juntos em um sistema negociado.

Além disso, todos os backdoors usam comandos personalizados de batimento cardíaco que provavelmente são enviados e recebidos regularmente para que a conexão permaneça viva.

Os operadores deste malware são bem treinados e sabem a maneira exata de implementar o ataque. Embora a maioria dos recursos do malware seja projetada especificamente para ocultar a presença, transmitir informações e implementar o acesso ao backdoor.

FONTE: GB HACKERS

POSTS RELACIONADOS