trasforma i dispositivi Linux in una botnet IRC: ecco come proteggersi!!

 


Buongiorno cari lettori, oggi parleremo di un attacco malware 'FreakOut' in corso che trasforma i dispositivi Linux in una botnet IRC



Secondo Checkpoint, l'attacco malware "FreakOut" sta sfruttando "le più recenti vulnerabilità".

I ricercatori di cybersicurezza identificano regolarmente le vulnerabilità, alcune serie, altre no. Nell'ultimo, i ricercatori di Checkpoint hanno scoperto una serie di attacchi contro i dispositivi Linux.


Soprannominato FreakOut; l'attacco malware è stato effettuato per creare una botnet IRC. Vale la pena notare che una IRC Botnet è una collezione di macchine infettate con malware che possono essere controllate a distanza tramite un canale IRC.


Fatto da un attore di minacce chiamato "freak;" la botnet in questione permetterebbe agli aggressori di eseguire attività dannose come attacchi brute-forcing, sniffing di rete, processi di uccisione, crypto-mining e attacchi DDoS.


Scendendo nei dettagli, la campagna non è rivolta alle masse ma sceglie un approccio mirato in cui attacca solo i sistemi che eseguono il sistema operativo TerraMaster ZEND framework o Liferay Portal. Ciò che è preoccupante è che tutti e 3 hanno un numero significativo di utenti a livello globale.




Secondo i ricercatori, una volta che un dispositivo è diventato una vittima, diventa poi parte della catena di attacco che, nelle parole dei ricercatori, si traduce in "rendere il flusso di attacco ricorsivo".


Le vulnerabilità prese di mira dal malware includono:


CVE-2020-28188 - che prende di mira TerraMaster

CVE-2021-3007 - che prende di mira Zend

CVE-2020-7961 - prendendo di mira Liferay Portal



L'attacco funziona in un modo che prima l'attore della minaccia esegue alcuni comandi del sistema operativo al fine di caricare uno script Python dannoso sul dispositivo della vittima. Questo script viene scaricato da gxbrowser[.]net" e contiene codice polimorfo.


I ricercatori scoprono gli attacchi "FreakOut" destinati a creare IRC Botnet dannosi

La pagina che ha caricato quando diretto al link di cui sopra. Ora, però, sta reindirizzando a un video troll su YouTube.


Spiegando i tecnicismi, i ricercatori hanno dichiarato in un post sul blog che,


Molti dei nomi delle funzioni rimangono gli stessi in ogni download, ma ci sono più funzioni che sono offuscate utilizzando stringhe casuali generate da una funzione di imballaggio. Il primo attacco che ha cercato di scaricare il file è stato osservato l'8 gennaio 2021. Da allora, sono state fatte centinaia di richieste di download dall'URL in questione.



Quando abbiamo cercato il dominio e il file in questione in VirusTotal (VT), abbiamo trovato altri codici chiamati "out.py".


Questi file sono stati caricati solo poche ore prima dell'inizio degli attacchi, e avevano bassi punteggi di rilevamento da parte degli AV presentati in VirusTotal. Tutti i file provenivano dallo stesso dominio, hxxp://gxbrowser[.]net, poiché questo indirizzo è hardcoded in tutti gli script ed è l'unico indirizzo che appare.


Tutto questo significa che l'attore minaccioso dietro la campagna può lanciare attacchi sofisticati contro individui e istituzioni causando grandi danni. Ad esempio, utilizzando i sistemi infetti per il crypto-mining, la loro produttività sarebbe significativamente compromessa con conseguente perdita di risorse per chiunque, a parte l'ovvia perdita di dati in gioco.


Possono anche effettuare attacchi DDoS e chiedere un riscatto, come visto in precedenza, dove gli attacchi DDoS sono stati lanciati con note di riscatto Monero. Tuttavia, il malware FreakOut è abbastanza sofisticato. Ecco un elenco completo delle sue capacità:


Gestione dei socket

DDOS e Flooding

Sniffing della rete

Utilità di scansione delle porte

Aprire una reverse-shell

Usare la funzione "exploit

Creare e inviare pacchetti

Raccogliere l'impronta digitale del sistema

Diffusione su diversi dispositivi

Uccidere un processo per nome o ID

Forza bruta - usando credenziali hardcoded

Impacchettare e decomprimere il codice usando tecniche di offuscamento

Ottenere la persistenza aggiungendosi alla configurazione rc.local.


Per concludere, la campagna è ancora in corso, quindi coloro che eseguono uno dei programmi citati dovrebbero rimanere vigili per evitare l'infezione.


spero che questo articolo ti sia piaciuto, e ci vedremo ad un prossimo.