FontOnLink Linux Malware ha estado activo desde mayo
El malware de Linux es un espectáculo bastante raro cuando se habla de ciberseguridad. Sin embargo, hay varios actores de amenazas persistentes avanzadas (APT) que se especializan en el desarrollo de malware para Linux. Una de las últimas amenazas producto de un grupo de este tipo es FontOnLink Malware. Parece presentar una estructura modular, lo que permite a sus operadores expandir o reducir su funcionalidad sobre la marcha. El implante se actualiza y mejora periódicamente, y parece centrarse en el acceso remoto a las máquinas comprometidas.
Es importante agregar que FontOnLink Malware no está muy extendido. De hecho, ha estado involucrado en una cantidad muy pequeña de ataques dirigidos. Esta es otra razón para suponer que sus creadores solo lo están usando contra objetivos cuidadosamente seleccionados, en lugar de lanzar una campaña de propagación total.
FontOnLink combina la funcionalidad de puerta trasera y rootkit
Parece que la carga útil tiene tres componentes principales, que tienen propósitos separados. La primera consiste en aplicaciones troyanizadas que funcionan como software normal, pero también ejecutan tareas maliciosas en segundo plano. Estas tareas incluyen recopilar datos, modificar configuraciones y más. El segundo grupo son las puertas traseras, que permiten la ejecución de código remoto. Los últimos son los rootkits, que otorgan persistencia al FontOnLink Malware y mejoran enormemente su sigilo.
Aunque las primeras instancias del malware FontOnLink se remontan a mayo de 2021, todavía no hay información sobre los métodos que utilizan los delincuentes para acercarse a sus víctimas. Sin embargo, a juzgar por los ataques altamente dirigidos, es seguro asumir que están explotando vulnerabilidades de seguridad o confiando en contenido de phishing.
Algunas de las habilidades principales de FontOnLink Malware incluyen:
- Robar archivos.
- Acceso remoto a máquinas comprometidas.
- Modificación de archivos: carga, descarga, creación / eliminación y más.
- Ejecutando un servidor proxy.
- Ejecutar comandos remotos y scripts prefabricados (generalmente escritos en Python).
Si bien FontOnLink Malware no se dirige a los usuarios habituales de Linux, aún se une a una larga lista de amenazas capaces de infectar este sistema operativo. Los usuarios de Linux no deben depender sólo el sistema operativo' robustas características de seguridad - que también deben invertir en software de seguridad -party 3º.