❤️ Adquiere tu membresía:  Contenidos protegidos, manuales y videos >> Ver Más

Peligroso malware está infectando sistemas Linux a través de utilidades troyanizadas

Una familia de malware recién descubierta ha estado infectando sistemas Linux con binarios legítimos maliciosos. Llamada FontOnLake, la amenaza incluye componentes de puerta trasera y rootkit.

El malware tiene una baja prevalencia en el entorno y se beneficia de un diseño avanzado que le permite mantener una persistencia extendida en un sistema infectado.

Ocultándose dentro de utilidades legítimas

FontOnLake tiene varios módulos que interactúan entre sí y permiten la comunicación con los operadores de malware, robar datos confidenciales y permanecer ocultos en el sistema.

Los investigadores de ESET encontraron varias muestras del malware subidas en el servicio de escaneo VirusTotal durante el año pasado. La primera de estas muestras apareció por primera vez en mayo del 2020.

Con un diseño sigiloso y sofisticado, es probable que FontOnLake sea utilizado en ataques dirigidos por operadores que son lo suficientemente cuidadosos como para usar servidores de comando y control únicos (C2) para “casi todas las muestras” y varios puertos no estándar.

Si bien los investigadores de ESET encontraron que el método de distribución de FontOnLake es a través de una aplicación troyanizada, todavía hay algunas dudas. Por ejemplo, los investigadores no saben cómo se atraen a las víctimas para que descarguen los binarios modificados.

Entre las utilidades de Linux que el actor de amenazas modificó para enviar FontOnLake se encuentran:

  • cat – se utiliza para imprimir el contenido de un archivo
  • kill: enumera todos los procesos en ejecución
  • sftp – utilidad FTP seguro
  • sshd –  el proceso del servidor OpenSSH

“Todos los archivos troyanizados son utilidades estándar de Linux y sirven como método de persistencia. Esto porque se ejecutan comúnmente al iniciar el sistema”.

Vladislav Hrčka, analista de malware e ingeniero inverso de ESET.

Según los investigadores, las utilidades maliciosas probablemente se modificaron en el nivel del código fuente. En caso de ser así, esto indica que el actor de la amenaza las compiló y reemplazó a las originales.

Además de transportar el malware, la función de estos binarios modificados es cargar payloads adicionales, recopilar información o ejecutar otras acciones maliciosas.

Los investigadores descubrieron tres puertas traseras personalizadas escritas en C++ asociadas con la familia de malware FontOnLake. Las puertas traseras brindan a los operadores acceso remoto al sistema infectado.

Una función común para las tres es transferir las credenciales sshd recopiladas y el historial de comandos bash al servidor C2. También utilizan comandos de heartbeat personalizados para mantener activa la conexión con el servidor de control.

Basado en rootkit de código abierto

En un informe técnico publicado la semana pasada, ESET señala que la presencia de FontOnLake en un sistema comprometido está oculta por un componente de rootkit. Este componente también es responsable de las actualizaciones y del envío de puertas traseras de respaldo.

Funcionamiento del malware

Todas las muestras de rootkit que ESET encontró tienen como destino las versiones del kernel 2.6.32-696.el6.x86_64 y 3.10.0-229.el7.X86_64. Las dos versiones descubiertas se basan en un proyecto de rootkit de código abierto de ocho años de antigüedad llamado Suterusu. Este rootkit puede ocultar procesos, archivos, el mismo y conexiones de red.

La comunicación entre las aplicaciones troyanizadas y el rootkit se realiza a través de un archivo virtual que crea este último. Un operador puede leer o escribir datos en este archivo y hacer que el componente de puerta trasera lo exporte.

Los investigadores creen que el autor de FontOnLake está “bien versado en ciberseguridad”. Él desactivó los servidores C2 utilizados en las muestras que se encuentran en VirusTotal una vez que se enteraron de que fueron subidas.

Un predecesor de FontOnLake

ESET dice que FontOnLake puede ser el mismo malware previamente analizado por investigadores del Tencent Security Response Center, quienes lo asociaron con un incidente de amenaza persistente avanzada.

En un tweet a fines de agosto, la compañía de ciberseguridad Avast anunció que encontraron un nuevo malware de Linux que usaba Suterusu. En aquel momento. Avast lo llamó HCRootkit.

Su descripción es similar a los hallazgos de ESET. Según las investigaciones de Avast, HCRootkit se envía mediante un “binario de coreutils con puerta trasera” que también instala una puerta trasera escrita en C ++.

“El propósito principal del componente rootkit es ocultar el payload de la etapa 2 y garantizar que el tráfico del CNC eluda el firewall instalando un “Netfilter hooks“. Asimismo, redirigiendo los paquetes del CNC para que parezca que los paquetes provienen de localhost”

Avast

Lacework Labs también publicó un análisis de HCRootkit. En dicho informe compartió detalles que parecen confirmar que el malware es el mismo que FontOnLake.

Deja un comentario

Adquiere tu Membresía Anual Wiser

Adquiere tu Membresía Anual Wiser y adquiere grandes beneficios

Más información