Novo malware de Linux se esconde em códigos que parecem legítimos

É bom que os usuários de sistemas Linux fiquem atentos. Uma nova família de malwares para que infecta o sistema foi descoberta, se escondendo em binários aparentemente legítimos. A ameaça está sendo chamada de FontOnLake, e os pesquisadores acreditam que ela é usada em ataques direcionados para a obtenção de dados sensíveis dos usuários.

• Mais de 90% dos malwares chegam por conexões seguras
• Criminosos usam novo rootkit de Windows 10 em ataques de espionagem virtual
• Afinal, o que é segurança digital?

Os pesquisadores encontraram o vírus depois de se depararem com várias amostras do FontOnLake no serviço de escaneamento de arquivos VirtusTotal, com a primeira ocorrência tendo sido postada em maio de 2020. O relatório também destaca que os agentes criadores dessa ameça virtual devem ser bastante experientes em segurança digital, já que todas essas amostras estavam com suas conexões com servidores de comando e controle (os computadores responsáveis por controlar e dar ordens ao malware) desativadas, aparentemente para dificultar o rastreamento dos criminosos.

O relatório da ESET afirma que o FontOnLake conta com uma programação avançada que permite que ela permaneça por longos períodos de tempo em sistemas infectados, mas também avisam que até o presente momento, ela não foi distribuida em massa. Além disso, a ameaça conta com múltiplos módulos que, quando executados, permitem uma grande variedade de funções, como comunicação com os criminosos responsáveis pelo ataque, roubo de dados sensíveis, e se manter escondido no sistema.

Os pesquisadores da ESET também afirmam que a distribuição do FontOnLake é feita por meio de aplicações cavalo de troia, ou seja, arquivos que realizam atividades maliciosas sem que o usuário perceba, mas a firma de segurança digital ainda não conseguiu identificar como as vítimas são levadas a realizar o download dos vetores iniciais.

Utilidades básicas do Linux são executadas a partir de uma série de comandos bash executadas no terminal do sistema operacional. Segundo o relatório da ESET, o FontOnLake, transforma algumas dessas funções em cavalos de Troia, para quando forem usadas, a infecção com o vírus ocorrer.

As utilidades do Linux alteradas para distribuir o FontOnLake, segundo o relatório da ESET, são as seguintes:

• cat - usada para mostrar os conteúdos de um arquivo;
• kill - usada para encerrar os processos sendo executados no Linux;
• sftp - utilidade de conexão FTP (File Transfer Protocol, protocolo de transferência de arquivos via internet segura;
• sshd - o processo usado por servidores ssh.

O relatório ainda afirma que essas funções foram alteradas no código fonte, indicando que os criminosos por trás do FontOnLake fizeram uma nova compilação dessas ferramentas, substituindo as originais em máquinas comprometidas. Também foram encontradas em computadores infectados um total de três backdoors, ou seja, portas de acesso não documentadas, escritas em C++ associadas com o FontOnLake, usadas para o acesso remoto dos criminosos aos sistemas alvo.

Todas essas três backdoors contam com uma funcionalidade em comum: a transferência de credenciais sshd, usada para acesso seguro de redes pelo Linux, e o histórico de comandos bash para a rede de comando e controle.

Mesmo vírus, nome diferente

A ESET afirma que a presença do FontOnLake em sistemas infectados é escondida a partir de um rootkit do malware, que também é o responsável pela instalações de atualizações no agente malicioso e pela manutenção das backdoors usadas para o acesso remoto dos sistemas infectados.

Rootkit é um software, na maioria das vezes malicioso, criado para esconder ou camuflar a existência de certos processos ou programas de métodos normais de detecção e permitir acesso exclusivo a um computador e suas informações.

Todas as amostras desse rootkit encontradas pela ESET usam como base um software de código-aberto criado oito anos atrás, o Suterusu, que pode esconder processos, arquivos, conexões de rede e, principalmente, ele mesmo. O FontOnLake tem como alvo principal as versões do Linux que utilizam os Kernel 2.6.32-696.el6.x86_64, disponibilizado em 2009, e 3.10.0-229.el7.X86_64, disponibilizado em 2015.

A ESET, por fim, acredita que o FontOnLake seja o mesmo malware que foi previamente identificado por pesquisadores do Centro de Respostas de Segurança da Tencent, que, na época, o classificaram como um incidente de ameaça persistente avançada. Além disso, um malware de Linux que também usava como base o Suterusu, chamado de HCRootKit, encontrado pela Avast em agosto, tem um funcionamento parecido com o FontOnLake, como backdoors feitas em C++ e a substituição de utilidades básicas do sistema operacional para sua infecção.

Caso você seja um usuário de alguma distribuição do Linux, a melhor forma de se prevenir desses ataques é instalando soluções antivírus no sistema operacional, como o Bitdefender ou o Avast e, sempre que instalar novos aplicativos ou mexer com comandos que envolvam conexão com servidores externos, realiza uma auditoria de segurança do sistema, checando arquivos e procurando alterações em documentos.

Fonte: BleepingComputer