Nuevo Malware “FreakOut” aprovecha vulnerabilidades de linux para atacar.

Mediante un script desarrollado en Python 2, el malware FreakOut aprovecha vulnerabilidades de Linux para crear una botnet IRC y expandirse a través de la red.

Investigadores de seguridad de Check Point han descubierto una serie de ataques asociados con la botnet de FreakOut, dicho malware consiste en ejecutar, con distintas sintaxis, comandos de sistema para descargar y ejecutar un script de Python 2 llamado “out.py”, luego de descargar el script se le otorgan permisos con “chmod” y esto permite al malware ejecutar cualquier tipo de comandos de sistema, por lo que cada dispositivo infectado por FreakOut puede ser accedido de forma remota por los atacantes, dando la posibilidad de infectar otros dispositivos vulnerables y así expandir la red de dispositivos infectados.

Según lo publicado por Check Point, los ataques de dirigen a dispositivos que contienen los siguientes softwares:
  • TerraMaster TOS(TerraMaster Operating System): El sistema operativo usado para administrar servidores TerraMaster NAS(Network Attached Storage).
  • Zend Framework: Un conjunto de paquetes utilizados en la creación de aplicaciones y servicios web con PHP.
  • Liferay Portal: Una aplicación web escrita en Java que ofrece características relevantes fara el desarrollo de portales y sitios web.
Estos softwares están relacionados con CVE(Common Vulnerabilities and Exposures) que son explotados por el malware:
  • CVE-2020-28188: Este fallo puede ser explotado remotamente por un atacante que no debe autenticarse y le permite inyectar comandos de sistema operativo, tomando el control del servidor. Afecta a versiones de TerraMaster TOS anteriores a la 4.2.06.
  • CVE-2021-3007: El atacante hace uso de Zend3 para cargar y ejecutar código malicioso en el servidor. Afecta a versiones de Zend Framework superiores a la 3.0.0.
  • CVE-2020-7961: Permite la ejecución remota de código. Afecta a versiones anteriores a la 7.2.1.

 

El malware, descargado del sitio web hxxp://gxbrowser[.]net y descrito anteriormente, contiene código ofuscado de Python que además es código polimórfico. Esto quiere decir que cambia la ofuscación cada vez que se descarga el script.

A continuación, una lista de funciones que tiene FreakOut.
  • Escaneo de puertos.
  • Recopilación de datos del sistema (direcciones MAC, IP ).
  • Recopilación de la versión de TerraMaster TOS instalada.
  • Creación y envío de paquetes (Infección ARP para ataques Man-in-the-Middle, soporte de paquetes UDP y TCP, soporte de protocolos HTTP, DNS, SSDP y SNMP, protocolo de paquetes creado por el atacante).
  • Ataques por fuerza bruta mediante Telnet y recopilación de direcciones IP.
  • Sniffing de la red.
  • Flooding.
  • Gestión de errores durante el proceso de ejecución mediante sockets.
  • Persistencia.
  • Creación de una terminal reversa.
  • Suspensión de procesos de sistema.
  • Ofuscación del código.

 

El equipo de Check Point estima que unos 185 dispositivos han sido afectados y otros 380 han sido atacados, aunque sin éxito pues fueron ataques bloqueados realizados entre el 8 y el 13 de enero.

En el mundo de la seguridad informática, las versiones de software y de sistema operativo son lo más importante, cada versión puede tener vulnerabilidades, y uno de los motivos por el que se van actualizando los paquetes, software o sistema operativo es que se van haciendo parches a estas vulnerabilidades. Es por esto por lo que se especifica que el malware afecta a ciertas versiones y que esta escrito en Python 2, dicha versión ya no tiene soporte de Python y está instalada en la gran mayoría de dispositivos Linux. Por lo que se recomienda a todos los usuarios que hagan uso de los softwares antes nombrados, que actualicen sus versiones a la última disponible lo más pronto posible.

Véase también:

https://securityaffairs.co/wordpress/113606/cyber-crime/freakout-botnet.html?utm_source=rss&utm_medium=rss&utm_campaign=freakout-botnet

https://research.checkpoint.com/2021/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

Referencias:

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-28188

https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2021-3007

Ciberseguridad con Blue Latam. – Por Crhistian Tapia especialista Microsoft.

Comparte este artículo

Share on facebook
Facebook
Share on google
Google+
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on whatsapp
WhatsApp

Suscribete a nuestro contenidos

* indicates required
Incribirse en Newsletter
Temas de Interés.

Otros artículos

× ¿En qué podemos ayudarte?