O blog We Live Security, da ESET, recentemente publicou um whitepaper detalhando a análise de um sofisticado malware para Linux, chamado FontOnLake.
Entre as propriedades conhecidas dessa ferramenta estão:
- Substituição de ferramentas básicas da linha de comando (
cat,kill,grepetc.) por versões comprometidas; - Substituição do
sshdpor uma versão comprometida; - Controle remoto do sistema, usando vários programas bastante diferentes entre si;
- Ocultação de processos, de arquivos e de conexões de rede por meio de um módulo de kernel e LD_PRELOAD (incluindo código para burlar ferramentas de investigação específicas);
- Atualizações automáticas, com os pesquisadores identificando versões “evoluídas” do malware com o tempo.
O alvo dos autores de malware parece ser servidores do Sudeste Asiático.