Una familia de malware que utiliza módulos personalizados para atacar sistemas Linux ha sido recientemente descubierta por los investigadores de ESET, que le han puesto de nombre FontOnLake. Estos módulos están en constante desarrollo, y de momento, ya tienen opciones de acceso remoto, funciones de robo de credenciales y capacidad para inicializar servidores proxy.

El primer archivo conocido de esta familia de malware apareció en VirusTotal en mayo del año pasado pero se han seguido subiendo otras muestras a lo largo del presente año. La ubicación del servidor C&C y los países desde los que se cargaron dichas muestras podrían indicar que sus objetivos incluyen el sudeste asiático.

Las muestras obtenidas usan diferentes servidores y varios puertos y ha sido diseñada en C/C ++ y con bibliotecas de terceros como Boost y Protobuf. El malware infecta la máquina y ejecuta código malicioso, instalando troyanos que cargan puertas traseras y recopilan información.

Según el equipo de investigadores, las aplicaciones han sido infectadas a nivel de código fuente, por lo que tienen que haber sido compiladas para después reemplazar a las originales. Todos los archivos infectados son utilidades estándar de Linux y sirven como método de persistencia porque son comúnmente ejecutados en el arranque del sistema.

FontOnLake se combina con un rootkit en modo kernel, y eso hace que pueda mantenerse activo en la máquina Linux infectada. Según Avast, el rootkit se basa en el proyecto de código abierto Suterusu.

Los investigadores todavía están tratando de averiguar cómo se distribuye el software a las víctimas.

Para obtener más información, visita el enlace: