Les chercheurs d’ESET, 1er éditeur Européen de solutions de sécurité, ont découvert une famille de malwares jusqu’alors inconnue qui utilise des modules personnalisés et bien conçus, ciblant les systèmes d’exploitation Linux. Les modules utilisés par cette famille de malwares, qu’ESET a baptisée FontOnLake, sont constamment développés et permettent d’accéder à distance aux machines, de collecter des identifiants et de servir de serveur proxy. La localisation du serveur de commande et de contrôle, et les pays à partir desquels les échantillons ont été téléchargés sur VirusTotal, pourraient indiquer que ses cibles incluent l’Asie du Sud-Est.
« La nature furtive des outils de FontOnLake, combinée à une conception avancée et une faible prédominance, suggère qu’ils sont utilisés dans des attaques ciblées, » explique Vladislav Hrčka, Malware Researcher chez ESET qui a analysé cette menace. Afin de collecter des données et mener d’autres activités malveillantes, cette famille de malwares utilise des binaires légitimes qui sont modifiés pour charger d’autres composants. En fait, afin de dissimuler sa présence, FontOnLake est toujours accompagné d’un rootkit. Ces binaires sont couramment utilisés sur les systèmes Linux et peuvent servir de mécanisme de persistance.
Les chercheurs d’ESET pensent que les opérateurs de FontOnLake sont très prudents, car presque tous les échantillons découverts par ESET utilisent des serveurs de commande et de contrôle différents, uniques, avec des ports non standard variables. Les auteurs utilisent principalement C/C++ et différentes bibliothèques tierces telles que Boost, Poco et Protobuf.
Le premier fichier connu de cette famille de malwares est apparu sur VirusTotal en mai dernier, et d’autres échantillons ont été mis en ligne tout au long de l’année. Aucun des serveurs de commande et de contrôle utilisés dans les échantillons téléchargés sur VirusTotal n’était actif au moment de la rédaction de ce communiqué, ce qui indique qu’ils ont pu être désactivés en raison du téléchargement.
Tous les composants connus de FontOnLake sont détectés par les produits ESET sous le nom « Linux/FontOnLake ». « Les entreprises et les particuliers qui souhaitent protéger leurs terminaux ou leurs serveurs Linux contre cette menace doivent utiliser un produit de sécurité multicouche et une version actualisée de leur distribution Linux. Certains des échantillons que nous avons analysés ont été créés spécifiquement pour CentOS et Debian, » conseille M. Hrčka.
Après la découverte d’ESET Research lors de la finalisation du livre blanc sur FontOnLake, des éditeurs tels que Tencent Security Response Center, Avast et Lacework Labs ont publié leurs études de ce qui semble être le même malware. ESET présentera ses conclusions sur FontOnLake lors de la conférence virtuelle AVAR 2021 qui se tiendra au début du mois de décembre.
Pour plus de détails techniques sur FontOnLake, lisez l’article « FontOnLake: Previously unknown malware family targeting Linux » sur WeLiveSecurity. Vous trouverez des détails techniques supplémentaires dans notre livre blanc complet. Suivez l’actualité d’ESET Research sur Twitter.
Contact Presse :
Jolya COHOUNDO : presse@eset-nod32.fr
À propos d'ESET
ESET, entreprise européenne de cybersécurité reconnue mondialement, se positionne comme un acteur majeur dans la protection numérique grâce à une approche technologique innovante et complète. Fondée en Europe et disposant de bureaux internationaux, ESET combine la puissance de l'intelligence artificielle et l'expertise humaine pour développer des solutions de sécurité avancées, capables de prévenir et contrer efficacement les cybermenaces émergentes, connues et inconnues. Ses technologies, entièrement conçues dans l'UE, couvrent la protection des terminaux, du cloud et des systèmes mobiles, et se distinguent par leur robustesse, leur efficacité et leur facilité d'utilisation, offrant ainsi une défense en temps réel 24/7 aux entreprises, infrastructures critiques et utilisateurs individuels. Grâce à ses centres de recherche et développement et son réseau mondial de partenaires, ESET propose des solutions de cybersécurité intégrant un chiffrement ultra-sécurisé, une authentification multifactorielle et des renseignements approfondis sur les menaces, s'adaptant constamment à l'évolution rapide du paysage numérique.
Pour plus d’informations, consultez www.eset.com/fr
et suivez-nous sur LinkedIn, Facebook et Instagram.