Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une famille de malwares jusqu’alors inconnue qui utilise des modules personnalisés et bien conçus, ciblant les systèmes d’exploitation Linux. Les modules utilisés par cette famille de malwares, qu’ESET a baptisée FontOnLake, sont constamment développés et permettent d’accéder à distance aux machines, de collecter des identifiants et de servir de serveur proxy. La localisation du serveur de commande et de contrôle, et les pays à partir desquels les échantillons ont été téléchargés sur VirusTotal, pourraient indiquer que ses cibles incluent l’Asie du Sud-Est.
« La nature furtive des outils de FontOnLake, combinée à une conception avancée et une faible prédominance, suggère qu’ils sont utilisés dans des attaques ciblées, » explique Vladislav Hrčka, Malware Researcher chez ESET qui a analysé cette menace. Afin de collecter des données et mener d’autres activités malveillantes, cette famille de malwares utilise des binaires légitimes qui sont modifiés pour charger d’autres composants. En fait, afin de dissimuler sa présence, FontOnLake est toujours accompagné d’un rootkit. Ces binaires sont couramment utilisés sur les systèmes Linux et peuvent servir de mécanisme de persistance.
Les chercheurs d’ESET pensent que les opérateurs de FontOnLake sont très prudents, car presque tous les échantillons découverts par ESET utilisent des serveurs de commande et de contrôle différents, uniques, avec des ports non standard variables. Les auteurs utilisent principalement C/C++ et différentes bibliothèques tierces telles que Boost, Poco et Protobuf.
Le premier fichier connu de cette famille de malwares est apparu sur VirusTotal en mai dernier, et d’autres échantillons ont été mis en ligne tout au long de l’année. Aucun des serveurs de commande et de contrôle utilisés dans les échantillons téléchargés sur VirusTotal n’était actif au moment de la rédaction de ce communiqué, ce qui indique qu’ils ont pu être désactivés en raison du téléchargement.
Tous les composants connus de FontOnLake sont détectés par les produits ESET sous le nom « Linux/FontOnLake ». « Les entreprises et les particuliers qui souhaitent protéger leurs terminaux ou leurs serveurs Linux contre cette menace doivent utiliser un produit de sécurité multicouche et une version actualisée de leur distribution Linux. Certains des échantillons que nous avons analysés ont été créés spécifiquement pour CentOS et Debian, » conseille M. Hrčka.
Après la découverte d’ESET Research lors de la finalisation du livre blanc sur FontOnLake, des éditeurs tels que Tencent Security Response Center, Avast et Lacework Labs ont publié leurs études de ce qui semble être le même malware. ESET présentera ses conclusions sur FontOnLake lors de la conférence virtuelle AVAR 2021 qui se tiendra au début du mois de décembre.
Pour plus de détails techniques sur FontOnLake, lisez l’article « FontOnLake: Previously unknown malware family targeting Linux » sur WeLiveSecurity. Vous trouverez des détails techniques supplémentaires dans notre livre blanc complet. Suivez l’actualité d’ESET Research sur Twitter.
Darina SANTAMARIA - 06 61 08 42 45 - darina.j@eset-nod32.fr
À propos d'ESET
Spécialisé dans la conception et le développement de logiciels de sécurité pour les entreprises et le grand public, ESET est aujourd’hui le 1er éditeur de l’Union européenne en matière de sécurité des endpoints. Pionnier en matière de détection proactive, ESET a été désigné pour la 2ème année consécutive, unique Challenger dans le Gartner Magic Quadrant 2019*, « Endpoint Protection » après avoir été évalué sur sa performance et sur la qualité de sa vision dans le domaine de la protection des Endpoints. À ce jour, l’antivirus ESET NOD32 détient le record mondial de récompenses décernées par le laboratoire indépendant Virus Bulletin depuis 1998. La technologie ESET protège aujourd’hui plus d’un milliard d’internautes. *Source : Gartner Inc, Magic Quadrant for Endpoint Protection Platforms, Peter Firstbrook, Lawrence Pingree, Dionisio Zumerle, Prateek Bhajanka, Paul Webber, August 20, 2019.