Fontonlake: rootkit complexo e recém descoberto que ataca servidores Linux

O blog We Live Security, da ESET, recentemente publicou um whitepaper detalhando a análise de um sofisticado malware para Linux, chamado FontOnLake.

Entre as propriedades conhecidas dessa ferramenta estão:

  • Substituição de ferramentas básicas da linha de comando (cat, kill, grep etc.) por versões comprometidas;
  • Substituição do sshd por uma versão comprometida;
  • Controle remoto do sistema, usando vários programas bastante diferentes entre si;
  • Ocultação de processos, de arquivos e de conexões de rede por meio de um módulo de kernel e LD_PRELOAD (incluindo código para burlar ferramentas de investigação específicas);
  • Atualizações automáticas, com os pesquisadores identificando versões “evoluídas” do malware com o tempo.

O alvo dos autores de malware parece ser servidores do Sudeste Asiático.

5 curtidas