FontOnLake Malware

Os pesquisadores de Infosec descobriram uma família até então desconhecida de ameaças de malware. Essas novas criações ameaçadoras são caracterizadas por ter módulos personalizados que estão em desenvolvimento ativo. O nome dado a esta família de malware recém-criada é FontOnLake e ela parece ter como alvo principal os sistemas Linux. O objetivo dos invasores é estabelecer acesso backdoor à máquina comprometida e coletar dados confidenciais, tais como credenciais do usuário.

Os autores da ameaça coloca ênfase significativa em permanecer despercebido. Eles usaram principalmente C/C++ e várias bibliotecas de terceiros, incluindo Boost, Poco e Protobuf, ao criar as ameaças FontOnLake. As operações que envolvem esta família de malware também parecem ser altamente direcionadas e focadas na região do Sudeste Asiático

A Estrutura do FontOnLake

O FontOnLake usa várias técnicas para permanecer oculto e aumentar suas chances de evitar a detecção. Ele utiliza binários legítimos que estão sendo modificados para carregar componentes corrompidos. O FontOnLake também é sempre acompanhado por um rootkit que é implantado na máquina infectada. Como um todo, os componentes observados dessa família de malware podem ser divididos em três categorias diferentes - aplicativos trojanizados, backdoors e rootkits.

Cada um tem uma função distinta. Os aplicativos armados consistem em binários legítimos que são reprogramados para realizar atividades maliciosas, como coletar dados ou entregar módulos adicionais.Naturalmente, os backdoors são usados pelos atacantes como os principais canais de comunicação, enquanto os rootkits se embutem no nível do kernel do sistema e ajudam a disfarçar as ações da ameaça, facilitam as atualizações ou agem como backdoors alternativos.

Variantes dos Componentes Detectadas

Vários aplicativos armados foram descobertos pelos pesquisadores. Todos esses eram utilitários padrão do Linux que foram modificados para coletar dados ou carregar componentes de backdoor ou rootkit personalizados. Como são normalmente executados na inicialização do sistema, eles também podem servir como mecanismos de persistência.

Os diferentes backdoors até agora foram observado sendo usados em ataques do FontOnLake. Eles empregam bibliotecas de Boost, Poco, Rrotobuf e alguns recursos de STL, incluindo ponteiros inteligentes. As backdoors exibem certas sobreposições de funcionalidade, como a capacidade de exfiltrar os dados coletados, manipular o sistema de arquivos, agir como proxy e executar comandos arbitrários.

Dois rootkits FontOnLake separados foram identificados até agora. Ambos são baseados no projeto de código aberto suterusu, mas incluem várias técnicas personalizadas. As duas versões são distintas uma da outra suficientemente, mas eles também se sobrepõem em certas funcionalidades. Ambos são capazes de ocultar processos e arquivos, mascarar conexões de rede, encaminhamento de porta, receber pacotes de dados especiais dos invasores e entregar as credenciais coletadas à porta dos fundos para exfiltração.