FontOnLake: убойный коктейль из бэкдора с руткитом для Linux
Главная » Новости

FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

Татьяна Никитина 08 Октября 2021 - 15:31
...
FontOnLake: убойный коктейль из бэкдора с руткитом для Linux

Эксперты ESET предупреждают о растущей угрозе со стороны модульных Linux-зловредов, объединенных в семейство с кодовым именем FontOnLake. Набор вредоносных инструментов, включающий бэкдор и руткит режима ядра, находится в стадии активной разработки; создатели часто его апгрейдят, добавляя новые функции.

Судя по датам загрузки образцов FontOnLake на VirusTotal, этот профессионально исполненный тулкит впервые пустили в ход в мае этого года. Местоположение авторов находок и прописка C2-серверов вредоноса говорят о том, что круг интересов злоумышленников пока ограничен Юго-Восточной Азией.

Операторы FontOnLake (в Avast и Lacework Labs его идентифицируют как HCRootkit) прилагают все усилия, чтобы скрыть вредоносную активность. Атаки проводятся точечно; для загрузки основных модулей используются модификации стандартных утилит Linux. Каждой версии тулкита назначается свой командный сервер, в случае обнаружения его быстро заменяют; выбор портов для подключения к С2 необычен.

Выявленные компоненты FontOnLake исследователи разделили на три группы:

  • троянизированные приложения — легитимные бинарные коды, адаптированные под загрузку основных модулей зловреда, сбор данных и выполнение других вредоносных действий;
  • бэкдоры — написанные на C++ компоненты режима пользователя, обеспечивающие связь с оператором; могут также создавать, модифицировать и удалять файлы, работать как прокси, выполнять шелл-команды и Python-скрипты;
  • руткиты — основанные на opensource-проекте Suterusu компоненты режима ядра, обеспечивающие маскировку и постоянное присутствие в системе; могут также выполнять проброс портов и загружать обновления или резервные бэкдоры.  

Все перечисленные компоненты взаимодействуют друг с другом через виртуальный файл, создаваемый руткитом. Чтение и запись в этот файл осуществляются по команде с C2-сервера.

 

Способ доставки FontOnLake на Linux-сервер установить не удалось. Конечная цель злоумышленников тоже пока неизвестна. С полнотекстовой версией отчета ESET можно ознакомиться на сайте компании (PDF).

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Android-зловред Godfather теперь запускает банки в своей песочнице
Екатерина Быстрова 20 Июня 2025 - 09:16
Android Трояны Домашние пользователи
Android-зловред Godfather теперь запускает банки в своей песочнице

Исследователи из Zimperium обнаружили новую версию Android-зловреда Godfather, и, похоже, злоумышленники вышли на новый уровень. Теперь троян создаёт изолированную виртуальную среду прямо на смартфоне жертвы и запускает в ней настоящие банковские приложения.

Выглядит всё как обычно — интерфейс и иконка те же, только данные улетают прямиком к киберпреступникам.

Этот подход напоминает приёмы другого вредоноса — FjordPhantom, который в конце 2023 года использовал контейнеризацию, чтобы запускать приложения SEA-банков внутри виртуалки и обходить защиту Android.

Но Godfather, по данным Zimperium, пошёл дальше: в его списке более 500 приложений — банки, криптокошельки, маркетплейсы. И всё это работает на фоне красивой картинки с настоящим UI.

Под капотом у зловреда — связка VirtualApp и Xposed, а также хитрая техника с так называемой StubActivity. Это такая подставная активность в приложении, которая маскирует запуск виртуализированного приложения, обманывая систему и пользователя.

В результате Android думает, что запускает родное банковское приложение, а на самом деле всё происходит внутри заражённого контейнера.

Как только пользователь открывает приложение банка, Godfather через сервис доступности перехватывает Intent (сигнал на запуск) и вместо настоящего запуска показывает виртуализированную копию — прямо в своём контейнере.

И да, интерфейс остаётся тем же, но все данные, которые вы вводите, — логины, пароли, ПИН-коды — перехватываются через API-хуки и могут быть использованы для перевода средств или входа в аккаунты.

Мало того, зловред может накинуть фейковый экран блокировки или обновления, пока в фоне сам управляет банковским приложением, отправляя платежи от имени пользователя. У жертвы просто чёрный экран — и никакого подозрения.

Godfather вообще не новичок — впервые о нём сообщили в 2021 году. Тогда он атаковал порядка 400 приложений в 16 странах и использовал HTML-оверлеи, чтобы красть данные. Новая версия — это уже полноценный виртуальный «банк в банке», и с ней бороться будет куда сложнее.

Пока что зафиксированы атаки на турецкие банки, но список целевых приложений позволяет переключаться на любой регион. Так что расслабляться рано.

Как защититься? Всё по классике: ставьте приложения только из Google Play, не выключайте Play Protect, внимательно смотрите, какие разрешения просят новые программы, и лучше сто раз подумайте, прежде чем ставить APK с форума.

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
100+ фейковых расширений в Chrome: ваши данные уже под угрозой
Новость
100+ фейковых расширений в Chrome: ваши данные уже под угроз...
Минпромторг считает необходимым закон о регулировании ИИ
Новость
Минпромторг считает необходимым закон о регулировании ИИ
Дропперские карты пропали с черного рынка
Новость
Дропперские карты пропали с черного рынка

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.