FontOnLake : un virus discret et sophistiqué attaque les systèmes sous Linux

11 octobre 2021 à 11h10
10
malware virus © Pixabay

Les chercheurs d'ESET ont décrit le fonctionnement d'un virus qu'ils ont surnommé « FontOnLake » et qui cible les systèmes sous Linux.

Il est présent dans des commandes Linux populaires modifiées, qui lui servent à installer des backdoors, et acquiert de cette façon une forme de persistance sur le système qu'il infecte.

Un malware persistant

Les chercheurs d'ESET ont annoncé avoir trouvé un nouveau malware appelé « FontOnLake ». Présent depuis au moins mai 2020, d'après les échantillons uploadés sur VirusTotal, il se distingue par sa capacité à conserver une persistance sur le système infecté et par la sophistication de sa conception.

Son installation se fait grâce à des versions modifiées et trojanisées de commandes Linux populaires, normalement présentes dans le package coreutils ou souvent installées par défaut sur certains systèmes, mais la manière dont elles sont distribuées aux victimes n'est pas encore claire. Parmi ces commandes, on retrouve cat, kill, sftp et sshd, souvent lancées au démarrage du système et qui permettent au malware d'être persistant. Elles lui servent également pour installer des backdoors personnalisées et des rootkits.

Une fois le malware présent sur le système, il utilise les backdoors installées pour récupérer des identifiants et l'historique Bash et les envoyer à son serveur commande et contrôle (C&C). Les rootkits quant à eux sont utilisés pour permettre au malware de cacher son existence et ses activités sur le système de la victime.

Un malware repéré par d'autres entreprises

Les chercheurs soupçonnent que FontOnLake est utilisé pour des attaques ciblées, ayant finalement été peu repéré en masse. Ses créateurs sont également prudents : des serveurs C&C différents sont utilisés dans chacun des échantillons présents sur VirusTotal et ont depuis été désactivés. Les analyses semblent indiquer que le virus est surtout présent en Asie du Sud-Est. Certains des échantillons montrent que Debian et CentOS font partie des distributions visées.

Enfin, notons que la découverte de ce logiciel malveillant n'est peut-être pas si nouvelle que ça. D'après ESET, le malware décrit par Avast, Tencent et Lacework Labs fin août, appelé HCRootkit, serait le même que celui trouvé par les chercheurs de l'entreprise.

A peine commencée, l'année 2024 a été marquée par l'attaque de deux organismes français du tiers payant faisant plus de 30 millions de victimes. Face à des menaces toujours plus sophistiquées et dévastatrices, il est crucial de se protéger avec une solution antivirus.
Lire la suite

Sources : BleepingComputer , ESET

Fanny Dufour

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numérique...

Lire d'autres articles

Arrivée dans la rédaction par le jeu vidéo, c’est par passion pour le développement web que je me suis intéressée plus largement à tout ce qui gravite autour de notre consommation des outils numériques, des problématiques de vie privée au logiciel libre en passant par la sécurité. Fan inconditionnelle de science-fiction toujours prête à expliquer pendant des heures pourquoi Babylon 5 est ma série préférée.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

  • Indépendance
  • Transparence
  • Expertise

L'équipe Clubic sélectionne et teste des centaines de produits qui répondent aux usages les plus courants, avec le meilleur rapport qualité / prix possible.

Haut de page

Sur le même sujet

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (10)

Shinpachi
Fake : tout le monde sait qu’il n’y a pas de virus sur Mac et sur Linux
Blap
C’est marrant car ce n’est pas un virus, d’ailleurs les sources ne parlent jamais de virus. Il n’y a que Clubic qui l’a fait (par erreur).<br /> De plus quasiment personne n’a jamais dit ca ou alors c’était stupide, ce qui était dit est que c’est beaucoup plus difficile sur ces systèmes (Android n’avait par exemple toujours pas de virus repertorié la derniere fois que j’avais regardé)
Bombing_Basta
Contribution remarquable…<br /> Sinon pour l’auteur de la news, quid du mode d’installation, de la manière de s’en protéger, de la remontée de l’info et des éventuels patchs de sécurité ?
Francis7
netstat -lapute<br /> dans un premier temps.
Jissou06
On se demande bien comment ce virus peut s’installer sur la machine (et rester persistant…)<br /> sachant qu‘une différence essentielle entre un utilisateur Linux et un utilisateur Windows est qu’un utilisateur Linux n‘est jamais loggué en root (administrateur) lorsqu‘il utilise son PC …au contraire de 99% des utilisateurs qui sont administrateur par défaut !
raymondp
oui, et que les paquets installés sur une distribution linux sont fournis par la distribution, et leur intégrité est contrôlée à l’installation par un checksum dont le résultat est fourni par des fichiers de clé chiffrés.<br /> Pour installer un virus, il faut vraiment le vouloir !<br /> A tel point que pour passer les audit de sécurité, comme les auditeurs veulent à tout prix un antivirus sur les serveurs, les admin linux installent Clamav, un anti-virus pour linux qui donc ne sert à rien, et une fois l’audit passé, ils le désinstallent !
Palou
Jissou06:<br /> …au contraire de 99% des utilisateurs qui sont administrateur par défaut !<br /> 99%, rien que ça … et c’est pour ça alors que certaines opérations pas courantes demandent que les gens passent en mode Administrateur ?
TNZ
La différence majeure est que sous GNU/Linux, l’utilisateur «administrateur» n’a que le droit sudo et il est tenu de passer par le mot de passe (ou par le sudoers). Il s’agit d’un compte normal 99% du temps.<br /> Côté Windows, le compte utilisateur a les droits en permanence, la différence est que le système identifie les besoins de droits et pose la question à chaque fois. Hors, on a déjà vu des malwares trouver une parade pour contourner cette confirmation d’utilisation des droits et les utiliser directement.<br /> Bref,<br /> Linux : compte normal à qui on donne les accès root<br /> Windows : compte avec privilèges où l’usage de ceux-ci est sous surveillance pour confirmation<br /> 2 philosophies, 2 ensembles de problèmes
NumLOCK
Hmm, il doit y avoir tellement de gens qui remplacent leur coreutils (signé numériquement et intégré à la distribution) par des versions louches qu’ils sont allé pêcher sur des forums ukrainiens <br /> Non sérieusement, je n’ai pas encore saisi le scénario d’infection là
promeneur001
Arrêtons cette guéguerre Windows-Linux à propos de la sécurité.<br /> Pourquoi dit-on depuis la naissance de Linux début années 90 (on en est à Windows 3.11) que Linux est beaucoup plus sûr ?<br /> L’apparition des virus date des années 80 sur nos PC. Je me souviens on était sous DOS.<br /> Quand Linux est conçu ce danger est connu. C’est pourquoi le système Linux dès sa conception intègre le problème de la sécurité. Linux intègre les technologies de défense d’un anti-virus, anti-pirate, etc, au sein même de son cœur. Les faiblesses de ce cœur sont constamment corrigées.<br /> Windows 3.11 à la même époque n’intègre aucune technologie de défense. Il faudra attendre Windows 2000 pour avoir un pare-feu, des ACL etc. !<br /> Dès le départ, il est très couteux de s’attaquer à Linux contrairement à Windows.<br /> Qu’en est-il de Windows aujourd’hui ? Depuis le début MS développe son OS en rajoutant des couches à un OS déjà existant comme IBM en son temps. Ce faisant le dernier OS hérite des faiblesses et des bugs non corrigés de ses ascendants. On accumule les faiblesses et les bugs.<br /> Souvenons-nous des plantages de Windows 3.11 seulement atténués avec Windows 95.<br /> Ma connaissance de Windows s’arrête à Windows 2000 (je suis à la retraite). Depuis est-ce que MS a créé un nouveau cœur en partant de zéro et intégrant les technologies de défense ce qui le mettrait au même niveau de sécurité que Linux ?
Jissou06
Ce n‘est pas une gué-guerre c‘est un fait<br /> En dehors du monde de l‘entreprise (ou le PC est securisé/restreint) 99% des utilisateurs Windows sont admin<br /> Avec Linux personne n‘est admin en graphique
raymondp
C’est exact, ce sont des faits.<br /> Là où commence la gué-guerre, c’est quand les pro-windows disent que windows marche mieux et / ou est aussi sécurisé que linux, ce qui n’est juste pas possible, car linux a utilisé dés le début les mêmes bases qu’Unix, un système des années 70 qui était déjà mieux conçu que windows, sorti 20 ans après, et depuis linux n’a fait que s’améliorer, alors que windows a mis rustine sur rustine pour combler les trous béants et les erreurs de conception.<br /> Là où Windows se défend, c’est sur l’ergonomie, pour ceux qui aiment, mais pour le reste…<br /> D’où franchement la news sur laquelle je suis vraiment dubitatif
Voir tous les messages sur le forum