Nuevo malware FreakOut encontrado explotando software vulnerable de Linux

Los investigadores de Check Point descubrieron una campaña en la que los sistemas Linux con software vulnerable están siendo atacados por el malware FreakOut. Este malware recién descubierto se inyecta mediante la explotación de errores en el software de Linux y une las máquinas comprometidas en una botnet para su posterior explotación.

Software vulnerable de Linux explotado con malware FreakOut

Investigadores en Control haber descubierto una nueva campaña de botnets, donde los actores de la amenaza están abusando de los errores en las aplicaciones web y el software del dispositivo NAS de Linux. Esto incluye Zend Framework, Liferay Portal, y TerraMaster.

Definiendo más, el TerraMaster es un sistema operativo para dispositivos NAS, donde el software v4.2.06 e inferior tiene un error de RCE que permite el control remoto del dispositivo. Zend Framework es un paquete de software PHP profesional con más 570 millones de descargas. Está teniendo lo mismo Error de RCE en la versión 3.0.0.

Y el Portal Liferay, que ayuda a los desarrolladores de Java a crear servicios como aplicaciones personalizadas y UI, tiene una error crítico en v7.2.1, que permite exploraciones CER. Los investigadores señalaron varios ataques resultantes de estas exploraciones, desde la minería de criptomonedas hasta la difusión a través de la red para su reconocimiento.

Malware FreakOut que explota software vulnerable de Linux

Comienza con los actores de amenazas que explotan cualquiera de las vulnerabilidades mencionadas anteriormente e inyectan un script de Python, que resulta ser el malware FreakOut. Se dice que el malware puede realizar ataques DDoS, el rastreo funciona como recopilación de datos y escaneo de puertos para el operador.

Los investigadores también descubrieron la versión anterior del script de Python inyectado, que contenía los comentarios y detalles de los autores del malware.. Revelaron que el nombre del autor del malware era Loco y canal de comunicación basado en IRC. La obtención de las credenciales de este último reveló aún más información sobre cuántos dispositivos están activos en la botnet.

Si bien hay mucho que aprender sobre la botnet, los investigadores dijeron que ha estado activa durante los últimos tres meses y está creciendo rápidamente. A partir de ahora, su tarea es simplemente configurar un minero XMRig en el sistema de la víctima para extraer la criptomoneda Monero. para operadores y se puede ampliar a otros.