Les chercheurs d'ESET ont décrit le fonctionnement d'un virus qu'ils ont surnommé « FontOnLake » et qui cible les systèmes sous Linux.
Il est présent dans des commandes Linux populaires modifiées, qui lui servent à installer des backdoors, et acquiert de cette façon une forme de persistance sur le système qu'il infecte.
Un malware persistant
Présent depuis au moins mai 2020, d'après les échantillons uploadés sur VirusTotal, il se distingue par sa capacité à conserver une persistance sur le système infecté et par la sophistication de sa conception.
Son installation se fait grâce à des versions modifiées et trojanisées de commandes Linux populaires, normalement présentes dans le package coreutils ou souvent installées par défaut sur certains systèmes, mais la manière dont elles sont distribuées aux victimes n'est pas encore claire. Parmi ces commandes, on retrouve cat, kill, sftp et sshd, souvent lancées au démarrage du système et qui permettent au malware d'être persistant. Elles lui servent également pour installer des backdoors personnalisées et des rootkits.
Une fois le malware présent sur le système, il utilise les backdoors installées pour récupérer des identifiants et l'historique Bash et les envoyer à son serveur commande et contrôle (C&C). Les rootkits quant à eux sont utilisés pour permettre au malware de cacher son existence et ses activités sur le système de la victime.
Un malware repéré par d'autres entreprises
Les chercheurs soupçonnent que FontOnLake est utilisé pour des attaques ciblées, ayant finalement été peu repéré en masse. Ses créateurs sont également prudents : des serveurs C&C différents sont utilisés dans chacun des échantillons présents sur VirusTotal et ont depuis été désactivés. Les analyses semblent indiquer que le virus est surtout présent en Asie du Sud-Est. Certains des échantillons montrent que Debian et CentOS font partie des distributions visées.
Enfin, notons que la découverte de ce logiciel malveillant n'est peut-être pas si nouvelle que ça. D'après ESET, le malware décrit par Avast, Tencent et Lacework Labs fin août, appelé HCRootkit, serait le même que celui trouvé par les chercheurs de l'entreprise.
