Hochentwickeltes Schadprogramm „FontOnLake“ attackiert Linux-Systeme

ESET Forscher sind einer Malware-Familie auf die Schliche gekommen, die es gezielt auf Linux-Betriebssysteme abgesehen hat. Das Schadprogramm namens „FontOnLake“ verwendet benutzerdefinierte Module und wird nach Einschätzung der Malware-Analysten kontinuierlich weiterentwickelt. Durch Fontonlake erhalten Hacker Fernzugriff auf die infizierten Systeme und können so beispielsweise Anmeldedaten oder andere vertrauliche Informationen sammeln.

Der Standort des C&C-Server und die betroffenen Länder deuten darauf hin, dass Südostasien zu den Hauptzielen der Angreifer zählt. Alle Komponenten werden von ESET-Produkten als „Linux/FontOnLake“ erkannt. Ihre Analyse haben die ESET-Forscher jetzt in einem Whitepaper auf „WeliveSecurity“ veröffentlicht.

„Fontonlake ist ein hochentwickeltes Schadprogramm. Durch die geringe Verbreitung vermuten wir, dass die Malware für gezielte Angriffe genutzt wird“, sagt Vladislav Hrčka, der ESET-Forscher, der diese Bedrohung analysiert hat. „Unternehmen oder Einzelpersonen, die ihre Linux-Endpoints oder -Server vor dieser Bedrohung schützen wollen, sollten eine mehrschichtige Sicherheitslösung und eine aktuelle Version ihrer Linux-Distribution verwenden; einige der von uns analysierten Beispiele wurden speziell für CentOS und Debian erstellt.“

 

Betreiber agieren sehr vorsichtig

Die erste bekannte Datei dieser Malware-Familie erschien im Mai letzten Jahres auf „VirusTotal“, und weitere Beispiele wurden im Laufe des Jahres hochgeladen. Keiner der C&C-Server, die in den auf „VirusTotal“ hochgeladenen Beispielen verwendet wurden, war zum Zeitpunkt der Analyse durch ESET aktiv, was darauf hindeutet, dass sie aufgrund des Uploads deaktiviert wurden. Die Forscher des europäischen IT-Sicherheitsherstellers vermuten daher, dass die Betreiber von Fontonlake übermäßig vorsichtig sind. Fast alle von ESET gesichteten Beispiele nutzen verschiedene, einzigartige C&C-Server mit unterschiedlichen, nicht standardisierten Ports. Die Autoren verwenden hauptsächlich C/C++ und verschiedene Bibliotheken von Drittanbietern wie Boost, Poco und Protobuf.

Weitere technische Details und das Whitepaper zu „FontOnLake“ gibt es auf „WeliveSecurity“:  https://www.welivesecurity.com/deutsch/2021/10/07/fontonlake-neue-malware-familie-hat-linux-im-visier/

#ESET