FreakOut Malware

Uma campanha envolvendo um novo tipo de malware tem como alvo dispositivos Linux vulneráveis. Batizada de malware FreakOut pelos pesquisadores da infosec, a ameaça está equipada com uma ampla gama de funcionalidades. Ainda assim, seu principal objetivo é adicionar dispositivos infectados a um botnet capaz de lançar ataques DDoS (Negação de Serviço Distribuída) e atividades de criptominação. Nos dispositivos Linux comprometidos, a ameaça também pode iniciar rotinas para varredura de portas e coleta de dados. Além disso, o FreakOut também estabelece um processo de detecção de pacotes de dados e de rede.

Como um ponto de entrada, a cepa de malware explora vulnerabilidades encontradas em três produtos Linux específicos. Todos os três problemas críticos já foram resolvidos em um patch lançado pelo fornecedor ou estão planejados para serem manipulados na próxima atualização de versão. Uma das vulnerabilidades é uma falha crítica de execução de comando remoto (CVE-2020-28188) que afeta o popular fornecedor de dispositivos de armazenamento de dados TerraMaster TOS (TerraMaster Operating System). A coleção popular de empacotadores de bibliotecas Zend Framework também se encontrou entre os alvos do FreakOut por meio do bug de desserialização crítica CVE-2021-3007. A terceira vulnerabilidade é a desserialização crítica do problema de dados não confiáveis (CVE-2020-7961) encontrada no portal corporativo de código aberto Liferay Portal.

A Cadeia de Ataque do FreakOut

Após a infiltração no alvo por meio de uma das três vulnerabilidades, os atacantes passaram a entregar um script Python obtido de um site localizado em https://gxbrowser.net. Os hackers então concedem permissões ao script por meio do comando 'chmod' e tentam executá-lo com o Python 2. Deve-se observar que o Python 2 atingiu a fase de fim de vida do ciclo do produto, então os invasores precisam que suas vítimas estar usando um produto obsoleto para toda a operação maliciosa a ser realizada.

Quando totalmente implantado, o script Python denominado 'out.py' pode realizar varredura de portas, coleta de detalhes do sistema, como endereços de dispositivos e informações de memória, e criação e exfiltração de pacotes. Ao usar credenciais embutidas em código, a ameaça pode tentar infectar outros dispositivos de rede por meio de um ataque de força bruta.

A análise da infraestrutura de Comando e Controle (C2, C&C) da campanha FreakOut revelou que aproximadamente 185 dispositivos já foram comprometidos.