FritzFrog
FritzFrog é o nome de um botnet incrivelmente sofisticado que ataca servidores SSH para implantar um malware minerador de Monero. As características da campanha e do malware implantado, conforme detalhado em um relatório dos pesquisadores de segurança da Guardicore, tornam-no totalmente único e bastante eficaz.
O worm FritzFrog, escrito em Golang, e o código subjacente e a implementação ponto a ponto (P2P) sem arquivo foram criados do zero, mostrando que os hackers por trás dele têm uma tremenda experiência como desenvolvedores de software.
FritzFrog não Deixa Rastros
A carga útil do malware implantado não tem arquivo, pois opera inteiramente na memória da máquina infectada. Uma vez lá dentro, o worm FritzFrog inicia vários threads, cada um com um propósito específico. O thread chamado 'Cracker' está empenhado em forçar o acesso a novas vítimas, enquanto o 'DeployMgmt' espalha o malware para os sistemas que já foram violados. O segmento 'Owned' é responsável por incluir o dispositivo comprometido no botnet FritzFrom. Para liberar recursos para suas próprias necessidades nefastas, FritzFrog cria um thread chamado 'Antivir', que tem a tarefa de remover qualquer processo de hardware intensivo que tenha uma string 'xmr' (Monero).
A mineração real do Monero é deixada para uma thread separada chamada 'libexec'. De acordo com Guardicore, o minerador empregado pela FritzFrog é baseado no minerador XMRig e usa a porta 5555 para se conectar ao pool público web.xrmpool.eu. Para obter persistência, a ameaça de malware adiciona sua chave SSH pública ao arquivo ' authorized_keys '. A mesma chave SSH é usada por todo o botnet:
'ssh-rsa
AAAAB3NzaC1yc2EAAAADAQABAAABAQDJYZIsncBTFc + iCRHXkeGfFA67j + kUVf7h / IL + sh0RXJn 7yDN0vEXz7ig73hC // 2 / 71sND + x + Wu0zytQhZxrCPzimSyC8FJCRtcqDATSjvWsIoI4j / AJyKk5 k3fCzjPex3moc48TEYiSbAgXYVQ62uNhx7ylug50nTcUH1BNKDiknXjnZfueiqAO1vcgNLH4qfq Ij7WWXu8YgFJ9qwYmwbMm + S7jYYgCtD107bpSR7 / WoXSr1 / SJLGX6Hg1sTet2USiNevGbfqNzci NxOp08hHQIYp2W9sMuo02pXj9nEoiximR4gSKrNoVesqNZMcVA0Kku01uOuOBAOReN7KJQBt'
Se for necessário enviar arquivos entre os nós infectados, o FritzFrog novamente emprega uma técnica sem arquivo. O arquivo que precisa ser transferido é dividido em blobs de dados (blocos de dados binários). Para rastrear os blobs, o malware os armazena em um mapa que inclui o valor de hash de cada blob. Para receber os blobs necessários, um nó faz uma solicitação para http://[IP de um nó que contém o blob]: 1234/[hash do blob]. Um thread separado 'Assembler' pega todos os blobs e os reúne para criar um arquivo.
O FritzFrog Opera sem uma Estrutura C2
Outra característica definidora do FritzFrog é que toda a operação é controlada sem a necessidade de uma infraestrutura centralizada de Comando e Controle (C2). Para iniciar o ataque, o FritzFrog primeiro tenta se conectar ao servidor de destino nas portas 22 e 2222. Em seguida, adiciona sua chave SSH pública ao arquivo authorized_keys no sistema comprometido. Para comunicação com o resto da rede, FritzFrog lança um cliente netcat na porta 1234.
Os nós na rede estão em comunicação quase constante uns com os outros para verificar a conectividade, permanecer sincronizados e trocar pontos e destinos. Para garantir uma carga de trabalho uniforme durante o processo de força bruta, os hackers por trás do FritzFrog criaram um sistema de votação exclusivo para os nós participantes do botnet.
Os pesquisadores estimam que a campanha do FritzFrog pode ter conseguido acesso de força bruta a milhões de endereços de IP SSH com sucesso. Mais de 500 servidores, pertencentes a várias universidades e uma empresa ferroviária, já foram infiltrados por este sofisticado minerador de cripto-moeda.
