{"id":19001,"date":"2021-10-08T20:20:23","date_gmt":"2021-10-08T23:20:23","guid":{"rendered":"https:\/\/www.ethicalhacker.com.br\/site\/?p=19001"},"modified":"2021-10-08T20:20:25","modified_gmt":"2021-10-08T23:20:25","slug":"malware-fontonlake-rootkit-direcionado-a-sistemas-linux","status":"publish","type":"post","link":"https:\/\/www.ethicalhacker.com.br\/site\/2021\/10\/exploits\/malware-fontonlake-rootkit-direcionado-a-sistemas-linux\/","title":{"rendered":"Malware FontOnLake Rootkit direcionado a sistemas Linux"},"content":{"rendered":"\n

Pesquisadores alertam sobre o malware FontOnLake Rootkit direcionado a sistemas Linux.<\/span><\/span><\/p>\n

Os pesquisadores de ciberseguran\u00e7a detalharam uma nova campanha que provavelmente tem como alvo entidades no sudeste da \u00c1sia com um malware Linux anteriormente n\u00e3o reconhecido, projetado para permitir acesso remoto a seus operadores, al\u00e9m de acumular credenciais e funcionar como servidor proxy. <\/span><\/p>\n

\u00a0<\/p>\n

A fam\u00edlia de malware, apelidada de ” FontOnLake <\/b>” pela empresa eslovaca de seguran\u00e7a cibern\u00e9tica ESET, apresenta “m\u00f3dulos bem projetados” que s\u00e3o continuamente atualizados com novos recursos, indicando uma fase de desenvolvimento ativa. As amostras enviadas para o VirusTotal apontam para a possibilidade de que as primeiras invas\u00f5es que utilizam essa amea\u00e7a tenham acontecido j\u00e1 em maio de 2020.<\/p>\n

Avast e Lacework Labs est\u00e3o rastreando o mesmo malware sob o nome de HCRootkit.<\/p>\n

\u00a0<\/p>\n

\"Linux<\/a><\/div>\n

\u00a0<\/p>\n

“A natureza furtiva de ferramentas de FontOnLake em combina\u00e7\u00e3o com design avan\u00e7ado e baixa preval\u00eancia sugerem que eles s\u00e3o usados em ataques direcionados”, conforme o pesquisador Vladislav Hr\u010dka da\u00a0 ESET<\/span>. “Para coletar dados ou conduzir outras atividades maliciosas, esta fam\u00edlia de malware usa bin\u00e1rios leg\u00edtimos modificados que s\u00e3o ajustados para carregar outros componentes. Na verdade, para ocultar sua exist\u00eancia, a presen\u00e7a do FontOnLake \u00e9 sempre acompanhada por um rootkit. Esses bin\u00e1rios s\u00e3o comumente usados \u200b\u200bem sistemas Linux e pode servir adicionalmente como um mecanismo de persist\u00eancia. ” <\/span><\/p>\n

\u00a0<\/p>\n

O conjunto de ferramentas do FontOnLake inclui tr\u00eas componentes que consistem em vers\u00f5es trojanizadas de utilit\u00e1rios Linux leg\u00edtimos usados \u200b\u200bpara carregar rootkits no modo kernel e backdoors no modo usu\u00e1rio, todos os quais se comunicam entre si usando arquivos virtuais. Os pr\u00f3prios implantes baseados em C ++ s\u00e3o projetados para monitorar sistemas, executar secretamente comandos em redes e exfiltrar credenciais de conta. <\/span><\/p>\n

\u00a0<\/p>\n

\u00a0<\/p>\n

\"Linux<\/a><\/div>\n

\u00a0<\/p>\n

Uma segunda permuta\u00e7\u00e3o do backdoor tamb\u00e9m vem com recursos para atuar como proxy, manipular arquivos, baixar arquivos arbitr\u00e1rios, enquanto uma terceira variante, al\u00e9m de incorporar recursos das outras duas backdoors, \u00e9 equipada para executar scripts Python e comandos shell. <\/span><\/p>\n

\u00a0<\/p>\n

A ESET disse que encontrou duas vers\u00f5es diferentes do rootkit Linux que se baseia em um projeto de c\u00f3digo aberto chamado <\/span>Suterusu <\/span>e compartilha sobreposi\u00e7\u00f5es de funcionalidade, incluindo processos ocultos, arquivos, conex\u00f5es de rede a si mesmo, ao mesmo tempo em que \u00e9 capaz de realizar opera\u00e7\u00f5es de arquivo, extrair e executar o backdoor no modo de usu\u00e1rio. <\/span><\/p>\n

\u00a0<\/p>\n

Atualmente n\u00e3o se sabe como os invasores obt\u00eam acesso inicial \u00e0 rede, mas a empresa de seguran\u00e7a cibern\u00e9tica observou que o ator da amea\u00e7a por tr\u00e1s dos ataques \u00e9 “excessivamente cauteloso” para evitar deixar rastros, contando com comandos e controles exclusivos e diferentes (C2) servidores com portas diferentes do padr\u00e3o. Todos os servidores C2 observados nos artefatos do VirusTotal n\u00e3o est\u00e3o mais ativos. <\/span><\/p>\n

\u00a0<\/p>\n

“Sua escala e design avan\u00e7ado sugerem que os autores s\u00e3o bem versados \u200b\u200bem seguran\u00e7a cibern\u00e9tica e que essas ferramentas podem ser reutilizadas em campanhas futuras”, conforme\u00a0 Hr\u010dka. “Como a maioria dos recursos s\u00e3o projetados apenas para ocultar sua presen\u00e7a, retransmitir a comunica\u00e7\u00e3o e fornecer acesso backdoor, acreditamos que essas ferramentas s\u00e3o usadas principalmente para manter uma infraestrutura que atende a alguns outros fins mal-intencionados desconhecidos.” <\/span><\/p>\n

\u00a0<\/p>\n

Este artigo \u00e9 uma tradu\u00e7\u00e3o de: https:\/\/thehackernews.com\/2021\/10\/researchers-warn-of-fontonlake-rootkit.html<\/a><\/p>\n

\u00a0<\/p>\n\n\n","protected":false},"excerpt":{"rendered":"

Pesquisadores alertam sobre o malware FontOnLake Rootkit direcionado a sistemas Linux. Os pesquisadores de ciberseguran\u00e7a detalharam uma nova campanha que provavelmente tem como alvo entidades no sudeste da \u00c1sia com um malware Linux anteriormente n\u00e3o reconhecido, projetado para permitir acesso remoto a seus operadores, al\u00e9m de acumular credenciais e funcionar como servidor proxy. \u00a0 A […]<\/p>\n","protected":false},"author":2,"featured_media":19008,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[89,100,21,105,99],"tags":[],"class_list":["post-19001","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-basico","category-diversos","category-exploits","category-noticias","category-novidades"],"_links":{"self":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19001","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/comments?post=19001"}],"version-history":[{"count":7,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19001\/revisions"}],"predecessor-version":[{"id":19009,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/posts\/19001\/revisions\/19009"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media\/19008"}],"wp:attachment":[{"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/media?parent=19001"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/categories?post=19001"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.ethicalhacker.com.br\/site\/wp-json\/wp\/v2\/tags?post=19001"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}