Malware FreakOut

Una campagna che coinvolge un nuovo ceppo di malware sta prendendo di mira i dispositivi Linux vulnerabili. Denominata malware FreakOut dai ricercatori di infosec, la minaccia è dotata di un'ampia gamma di funzionalità. Tuttavia, il suo obiettivo principale è aggiungere dispositivi infetti a una botnet in grado di lanciare attacchi DDoS (Distributed Denial of Service) e attività di cryptomining. Sui dispositivi Linux compromessi, la minaccia può anche avviare routine per la scansione delle porte e la raccolta dei dati. Inoltre, FreakOut stabilisce anche un processo di sniffing dei pacchetti di dati e di rete.

Come punto di ingresso, il ceppo di malware sfrutta le vulnerabilità trovate in tre prodotti Linux specifici. Tutti e tre i problemi critici sono già stati risolti in una patch rilasciata dal fornitore o dovrebbero essere manipolati nel prossimo aggiornamento della versione. Una delle vulnerabilità è un difetto critico nell'esecuzione di comandi remoti (CVE-2020-28188) che colpisce il popolare fornitore di dispositivi di archiviazione dati TerraMaster TOS (TerraMaster Operating System). La popolare raccolta di pacchetti di librerie Zend Framework si è trovata tra gli obiettivi di FreakOut anche a causa del bug di deserializzazione critico CVE-2021-3007. La terza vulnerabilità è la deserializzazione critica del problema di dati non attendibili (CVE-2020-7961) riscontrato nel portale aziendale open source Liferay Portal.

Catena di attacchi di FreakOut

Dopo essersi infiltrati nel bersaglio attraverso una delle tre vulnerabilità, gli aggressori hanno proceduto a fornire uno script Python recuperato da un sito Web situato su https://gxbrowser.net. Gli hacker quindi concedono i permessi allo script tramite il comando 'chmod' e provano a eseguirlo con Python 2. Va notato che Python 2 ha raggiunto la fase di fine vita del suo ciclo di prodotto, quindi gli aggressori hanno bisogno che le loro vittime utilizzare un prodotto ormai deprecato per eseguire l'intera operazione dannosa.

Quando è completamente distribuito, lo script Python denominato "out.py" può eseguire la scansione delle porte, raccogliere i dettagli del sistema come gli indirizzi dei dispositivi e le informazioni sulla memoria e creare ed estrarre i pacchetti. Utilizzando credenziali hardcoded, la minaccia può tentare di infettare altri dispositivi di rete tramite un attacco di forza bruta.

L'analisi dell'infrastruttura Command-and-Control (C2, C&C) della campagna FreakOut ha rivelato che circa 185 dispositivi sono già stati compromessi.