ESET-Forscher sind einer Malware-Familie auf die Schliche gekommen, die es gezielt auf Linux-Betriebssysteme abgesehen hat. FontOnLake verwendet benutzerdefinierte Module und wird nach Einschätzung der Malware-Analysten kontinuierlich weiterentwickelt. Hacker erhalten Fernzugriff auf die infizierten Systeme und können so beispielsweise Anmeldedaten oder andere vertrauliche Informationen sammeln. Der Standort des C&C-Servers und die betroffenen Länder deuten darauf hin, dass Südostasien zu den Hauptzielen der Angreifer zählt. Alle Komponenten werden von ESET-Produkten als Linux/FontOnLake erkannt. Ihre Analyse haben die Forscher jetzt in einem Whitepaper auf WeliveSecurity veröffentlicht. „FontOnLake ist ein hochentwickeltes Schadprogramm. Durch die geringe Verbreitung vermuten wir, dass die Malware für gezielte Angriffe genutzt wird“, sagt Vladislav Hrka, der ESET-Forscher, der diese Bedrohung analysiert hat. „Unternehmen oder Einzelpersonen, die ihre Linux-Endpoints oder -Server vor dieser Bedrohung schützen wollen, sollten eine mehrschichtige Sicherheitslösung und eine aktuelle Version ihrer Linux-Distribution verwenden; einige der von uns analysierten Beispiele wurden speziell für CentOS und Debian erstellt.“
Die erste bekannte Datei dieser Malware-Familie erschien im Mai letzten Jahres auf VirusTotal, und weitere Beispiele wurden im Laufe des Jahres hochgeladen. Keiner der C&C-Server, die in den auf VirusTotal hochgeladenen Beispielen verwendet wurden, war zum Zeitpunkt der Analyse durch ESET aktiv, was darauf hindeutet, dass sie aufgrund des Uploads deaktiviert wurden. Die Forscher des europäischen IT-Sicherheitsherstellers vermuten daher, dass die Betreiber von FontOnLake übermäßig vorsichtig sind. Fast alle gesichteten Beispiele nutzen verschiedene, einzigartige C&C-Server mit unterschiedlichen, nicht standardisierten Ports. Die Autoren verwenden hauptsächlich C/C++ und verschiedene Bibliotheken von Drittanbietern wie Boost, Poco und Protobuf.
