Malware FreakOut
Una campaña que involucra una nueva variedad de malware está dirigida a dispositivos Linux vulnerables. Denominado malware FreakOut por los investigadores de infosec, la amenaza está equipada con una amplia gama de funcionalidades. Aún así, su objetivo principal es agregar dispositivos infectados a una botnet capaz de lanzar ataques DDoS (denegación de servicio distribuida) y actividades de criptominería. En los dispositivos Linux comprometidos, la amenaza también puede iniciar rutinas para el escaneo de puertos y la recolección de datos. Además, FreakOut también establece un proceso de rastreo de paquetes de datos y de red.
Como punto de entrada, la cepa de malware aprovecha las vulnerabilidades que se encuentran en tres productos específicos de Linux. Los tres problemas críticos ya se han abordado en un parche lanzado por el proveedor o se planea manipularlos en la próxima actualización de la versión. Una de las vulnerabilidades es una falla crítica de ejecución de comandos remotos (CVE-2020-28188) que afecta al popular proveedor de dispositivos de almacenamiento de datos TerraMaster TOS (sistema operativo TerraMaster). La popular colección de empaquetadores de bibliotecas Zend Framework también se encontró entre los objetivos de FreakOut a través del error crítico de deserialización CVE-2021-3007. La tercera vulnerabilidad es la deserialización crítica de un problema de datos no confiables (CVE-2020-7961) que se encuentra en el portal empresarial de código abierto Liferay Portal.
Cadena de ataque de FreakOut
Después de infiltrarse en el objetivo a través de una de las tres vulnerabilidades, los atacantes procedieron a entregar un script de Python obtenido de un sitio web ubicado en https://gxbrowser.net. Luego, los piratas informáticos otorgan permisos al script a través del comando 'chmod' e intentan ejecutarlo con Python 2. Debe tenerse en cuenta que Python 2 alcanzó la fase de fin de vida de su ciclo de producto, por lo que los atacantes necesitan que sus víctimas utilizar un producto ahora obsoleto para llevar a cabo toda la operación maliciosa.
Cuando está completamente implementado, el script de Python llamado 'out.py' puede realizar escaneo de puertos, recolectando detalles del sistema como direcciones de dispositivos e información de memoria, y creando y exfiltración de paquetes. Al utilizar credenciales codificadas de forma rígida, la amenaza puede intentar infectar otros dispositivos de red mediante un ataque de fuerza bruta.
El análisis de la infraestructura de Comando y Control (C2, C&C) de la campaña FreakOut reveló que aproximadamente 185 dispositivos ya han sido comprometidos.
