ESET ha alertado de la presencia de FontOnLake, una familia de malware no conocida hasta ahora que ataca a sistemas Linux para permitir el acceso remoto a sus operadores y conseguir credenciales, además de funcionar como un servidor proxy.
La firma de ciberseguridad ha encontrado en FontOnLake «módulos bien diseñados» que se actualizan continuamente con nuevas funciones, lo que indica una fase de desarrollo activa. Las muestras subidas a VirusTotal y que también están siendo rastreadas por Avast y Lacework Labs bajo el nombre de HCRootkit, apuntan a que la posibilidad de que las primeras intrusiones que utilizan este malware sucedieran desde mayo de 2020.
MS Recomienda
La naturaleza furtiva de las herramientas de FontOnLake en combinación con su diseño avanzado y baja prevalencia sugieren que ha sido diseñado para ataques dirigidos. «Para recopilar datos o realizar otra actividad maliciosa, esta familia de malware utiliza binarios legítimos modificados que se ajustan para cargar más componentes. De hecho, para ocultar su existencia, la presencia de FontOnLake siempre va acompañada de un rootkit. Estos binarios se usan comúnmente en sistemas Linux y además puede servir como mecanismo de persistencia», explican desde ESET.
El conjunto de herramientas de FontOnLake incluye tres componentes que consisten en versiones troyanizadas de utilidades legítimas de Linux que se utilizan para cargar rootkits en modo kernel y puertas traseras en modo usuario, todos los cuales se comunican entre sí mediante archivos virtuales. Los propios implantes basados en C ++ están diseñados para monitorizar sistemas, ejecutar comandos en secreto en las redes y exfiltrar las credenciales de las cuentas.
Una segunda permutación de la puerta trasera también incluye capacidades para actuar como proxy, manipular archivos, descargar archivos arbitrarios, mientras que una tercera variante, además de incorporar características de las otras dos puertas traseras, está equipada para ejecutar scripts de Python y comandos de shell.
FontOnLake, peligroso para el futuro
No se sabe cómo los atacantes obtienen acceso inicial a la red, pero ESET explica que los autores son «demasiados cautelosos» para evitar dejar rastros al depender de servidores de comando y control diferentes y con puertos no estándar. Hay al menos dos versiones de este rootkit de Linux que se basa en un proyecto de código abierto llamado Suterusu y comparte varias de sus funciones, incluidos los procesos de ocultación, los archivos o las conexiones de red, al tiempo que puede realizar operaciones de archivos y extraer y ejecutar la puerta trasera en modo de usuario.
Los investigadores sugieren que esta familia de malware se está utilizando para mantener infraestructuras terceras con fines maliciosos, ya que sus funciones están diseñadas solo para ocultar su presencia, retransmitir la comunicación y proporcionar accesos de puerta trasera. Su nivel avanzado y escala, sugieren que «los autores están bien versados en ciberseguridad y que estas herramientas podrían reutilizarse en campañas futuras», aseguran desde ESET.
Fuente obtenida de: https://www.muyseguridad.net/2021/10/12/fontonlake-rootkit-linux/
