Usuários dos sistemas Linux estão sendo alvo de ataques direcionados de um malware conhecido como FontOnLake, que até então estava atuando sem ser detectado ou impedido por soluções de cibersegurança.
Essa família de malware recém-descoberta foi identificada pela empresa de cibersegurança ESET. Segundo os pesquisadores da companhia, o FontOnLake está em constante desenvolvimento, sendo capaz de oferecer acesso remoto aos operadores, roubar credenciais das vítimas e funcionar como um servidor proxy.
Ainda de acordo com a ESET, os ataques são direcionados a sistemas Linux; mais especificamente, em máquinas localizadas na região do Sudeste Asiático. No entanto, as informações obtidas até o momento sobre a atuação do malware são limitadas.
Durante as investigações, os pesquisadores notaram que os operadores são extremamente cautelosos para evitar serem descobertos e que suas atividades sejam expostas. Quase todas as amostras obtidas utilizam diferentes endereços de servidores C2, além de uma variedade de portas.
Componentes do FontOnLake
A empresa de cibersegurança ESET publicou um whitepaper detalhado explicando suas descobertas até o momento sobre o FontOnLake. De forma resumida, ele é um malware modular que utiliza binários modificados legítimos para infectar uma máquina e executar código malicioso.
Os componentes conhecidos do FontOnLake até o momento podem ser classificados em três grupos que interagem entre si: aplicativos trojan, backdoors e rootkits.
Os pesquisadores afirmam ter descoberto múltiplos aplicativos trojan, que se passavam por ferramentas Linux reais, muitas vezes substituindo as originais, para introduzir um backdoor ou módulos rootkit, além de coletar dados sensíveis.
A ESET ainda não descobriu como esses aplicativos chegam às vítimas. No entanto, o que se sabe até agora é que a comunicação do aplicativo trojan com seu rootkit ocorre através de um arquivo virtual, que é criado e gerenciado pelo rootkit.
Os dados coletados durante o ataque podem ser lidos e modificados através do arquivo virtual e exportado por meio do backdoor quando solicitado pelo operador.
No caso dos componentes backdoor, foram descobertos três tipos diferentes, sendo que todos são escritos em linguagem de programação C++ e apresentam a mesma funcionalidade de extrair as credenciais coletadas e o histórico de comandos bash para seu servidor.
Os pesquisadores da ESET identificaram duas versões diferentes do rootkit. Ambas são baseadas no projeto de código aberto Suterusu, mas cada uma conta com uma série de técnicas personalizadas e únicas.
As funcionalidades combinadas das duas versões do rootkit permitem basicamente esconder processos, arquivos e conexões de rede, além de expor as credenciais coletadas ao backdoor.
Recomendações de cibersegurança
Além da ESET, outras companhias de cibersegurança também começaram a investigar o malware. Empresas como Tencent Security Response Center, Avast e Lacework Labs, por exemplo, publicaram suas próprias pesquisas sobre um malware que parece ser o mesmo que o FontOnLake.
A recomendação da ESET é que todos os usuários, individuais ou corporativos, dos sistemas Linux se protejam dessa ameaça de cibersegurança utilizando um produto que ofereça uma proteção de múltiplas camadas.
Também é importante manter a versão da distribuição Linux atualizada, alerta a ESET. De acordo com a empresa, algumas das amostras do malware analisadas haviam sido criadas especificamente para o CentOS Debian.