Un Malware qui n’avait pas été détecté auparavant est utilisé dans des attaques ciblées contre les systèmes Linux. Le logiciel malveillant, baptisé FontOnLake, est accompagné d’un rootkit pour enfoncer fermement ses griffes dans les machines vulnérables.
Un malware en cours de développement déjà bien conçu
Selon les chercheurs de la société de cybersécurité ESET, le logiciel malveillant, nommé FontOnLake, semble être bien conçu. Et pourtant, celui-ci est encore en développement. Le Malware inclut déjà des options d’accès à distance et des fonctionnalités de vol d’identifiants.
FontOnLake est aussi capable d’initialiser des serveurs proxy. Les échantillons de ce logiciel malveillant sont apparus pour la première fois sur VirusTotal en mai 2020. Mais les serveurs de commande et de contrôle (C2) liés à ces fichiers sont désactivés.
Selon les chercheurs, cela pourrait être dû aux téléchargements. Presque tous les échantillons obtenus utilisent des adresses de serveur C2 différentes et une variété de ports. Les auteurs du Malware utilisent C/C++ et un certain nombre de bibliothèques tierces comme Boost et Protobuf.
Un malware modulaire
FontOnLake est un malware modulaire qui exploite des binaires personnalisés pour infecter une machine et exécuter du code malveillant. Parmi ses composants connus figurent des applications trojanisées. Ces dernières sont utilisées pour charger des portes dérobées, des rootkits et pour collecter des informations.
Les correctifs des applications sont très probablement appliqués au niveau du code source. Cela indique que les applications doivent avoir été compilées et remplacées par celles d’origine. Au total, trois portes dérobées ont été connectées à FontOnLake.
Les portes dérobées sont toutes écrites en C++ et créent un pont vers le même C2 pour l’exfiltration des données. De plus, ils sont capables d’émettre des commandes heartbeat pour maintenir cette connexion active.
FontOnLake est toujours associé à un rootkit en mode noyau pour maintenir la persistance sur une machine Linux infectée. Selon Avast, le rootkit est basé sur le projet open source Suterusu. Tencent et Lacework Labs ont également publié des recherches sur ce qui semble être la même souche de Malware.
- Partager l'article :