Lejos quedaron los tiempos en los que los virus eran casi exclusivamente de Windows. Con el tiempo, y con la cantidad de usuarios aumentando en Linux y Mac, las amenazas se hacen más diversas, más sigilosas y más flexibles.
Ahora hay un malware que se está utilizando en ataques dirigidos contra sistemas Linux, y su nombre es FontOnLake.
La firma de ciberseguridad ESET comenta que el malware aún está en desarrollo, pero de momento ya tiene opciones de acceso remoto, funciones de robo de credenciales y es capaz de inicializar servidores proxy.
La primera mención la vemos en VirusTotal en mayo de 2020, pero aún era una versión sin tantas funciones. Ahora es más completo, y está atacando a sistemas Linux del sudeste asiático.
Las muestras obtenidas usan diferentes direcciones de servidor y varios puertos, pero ya se sabe que los creadores del virus usan C/C ++ y varias bibliotecas, como Boost y Protobuf.
Es un malware modular que infecta la máquina y ejecuta código malicioso. Instala troyanos que cargan puertas traseras y recopilan información, y por lo que dice el equipo responsable, las aplicaciones infectadas lo han sido a nivel de código fuente, por lo que tienen que haber sido compiladas para después reemplazar a las originales.
FontOnLake se combina con un rootkit en modo kernel, y eso hace que pueda mantenerse activo en la máquina Linux infectada. Según Avast, el rootkit se basa en el proyecto de código abierto Suterusu.
Podéis obtener más información en este PDF.