FontOnLake Malware

Los investigadores de Infosec han descubierto una familia de amenazas de malware previamente desconocidas. Estas nuevas creaciones amenazantes se caracterizan por tener módulos personalizados que se encuentran en desarrollo activo. El nombre dado a esta familia de malware recientemente establecida es FontOnLake y parece estar dirigido principalmente a sistemas Linux. El objetivo de los atacantes es establecer un acceso de puerta trasera a la máquina comprometida y recopilar datos confidenciales, como las credenciales de usuario.

El actor de la amenaza pone un énfasis significativo en pasar desapercibido. Usaron principalmente C / C ++ y varias bibliotecas de terceros, incluidas Boost, Poco y Protobuf al crear las amenazas de FontOnLake. Las operaciones que involucran a esta familia de malware también parecen estar muy dirigidas y centradas en la región del sudeste asiático.

FontOnLake Estructura

FontOnLake utiliza múltiples técnicas para permanecer oculto y aumentar sus posibilidades de evitar la detección. Utiliza binarios legítimos que se están modificando para cargar componentes dañados. FontOnLake también siempre va acompañado de un rootkit que se implementa en la máquina infectada. En conjunto, los componentes observados de esta familia de malware se pueden dividir en tres categorías diferentes: aplicaciones troyanizadas, puertas traseras y rootkits.

A cada uno se le asigna una función distinta. Las aplicaciones armadas consisten en binarios legítimos que se reprograman para realizar actividades maliciosas, como recopilar datos o entregar módulos adicionales.Naturalmente, los atacantes utilizan las puertas traseras como los principales canales de comunicación, mientras que los rootkits se incrustan en el nivel del kernel del sistema y ayudan a disfrazar las acciones de la amenaza, facilitan las actualizaciones o actúan como puertas traseras.

Variantes de componentes detectadas

Los investigadores descubrieron múltiples aplicaciones armadas. Todas estas fueron utilidades estándar de Linux que se han modificado para recopilar datos o cargar los componentes personalizados de puerta trasera o rootkit. Debido a que normalmente se ejecutan en el inicio del sistema, también pueden servir como mecanismos de persistencia.

Hasta ahora, se ha observado que las diferentes puertas traseras se utilizan en los ataques de FontOnLake. Emplean bibliotecas de Boost, Poco, Rrotobuf y algunas funciones de STL, incluidos los punteros inteligentes. Las puertas traseras muestran ciertas superposiciones en la funcionalidad, como la posibilidad de filtrar los datos recopilados, manipular el sistema de archivos, actuar como un proxy y ejecutar comandos arbitrarios.

Hasta ahora se han identificado dos rootkits FontOnLake separados. Ambos se basan en el proyecto de código abierto suterusu, pero incluyen varias técnicas personalizadas. Las dos versiones son distintas entre sísuficientemente, pero también se superponen en ciertas funcionalidades. Ambos son capaces de ocultar procesos y archivos, enmascarar conexiones de red, reenviar puertos, recibir paquetes de datos especiales de los atacantes y entregar las credenciales recopiladas a la puerta trasera para su exfiltración.