El actor de amenazas vinculado a un botnet de tipo peer-to-peer (P2P) denominado FritzFrog ha reaparecido con una variante reciente que utiliza la vulnerabilidad Log4Shell para propagarse internamente en una red que ya ha sido comprometida.
«La vulnerabilidad es explotada de manera agresiva, intentando dirigirse a tantas aplicaciones Java vulnerables como sea posible», informó la empresa de seguridad y estructura web Akamai en un informe.
FritzFrog, inicialmente identificado por Guardicore (ahora parte de Akamai) en agosto de 2020, es un malware basado en Golang que se centra principalmente en servidores con credenciales SSH débiles expuestas a Internet. Su actividad se remonta a enero de 2020.
A lo largo del tiempo, ha evolucionado para atacar sectores como salud, educación y gobierno, mejorando sus capacidades para finalmente implementar mineros de criptomonedas en los dispositivos infectados.
La novedad de esta versión radica en la utilización de la vulnerabilidad Log4Shell como vector secundario de infección, enfocándose específicamente en hosts internos en lugar de dirigirse a activos accesibles públicamente que presentan vulnerabilidades.
«Cuando se descubrió la vulnerabilidad por primera vez, se dio prioridad al parcheo de las aplicaciones expuestas a Internet debido al alto riesgo de compromiso», señaló el investigador de seguridad Ori David.
«En contraste, las máquinas internas, que eran menos propensas a ser explotadas, a menudo fueron descuidadas y permanecieron sin parches, una circunstancia que aprovecha FritzFrog».
Esto implica que incluso si se han parcheado las aplicaciones expuestas a Internet, un ataque exitoso en cualquier otro punto de la red puede exponer sistemas internos no parcheados y propagar el malware.
El componente de fuerza bruta SSH de FritzFrog también ha sido mejorado para identificar específicamente objetivos SSH, analizando diversos registros del sistema en cada uno de sus objetivos.
Otro cambio destacado en el malware es la utilización de la vulnerabilidad PwnKit, identificada como CVE-2021-4034, para lograr una escalada de privilegios local.
«FritzFrog sigue empleando tácticas para mantenerse oculto y evitar la detección. En particular, se esfuerza por evitar dejar archivos en el disco siempre que sea posible», afirmó David.
Esto se logra mediante el uso de la ubicación de memoria compartida /dev/shm, que también ha sido empleada por otros malwares basados en Linux como BPFDoor y Commando Cat, y memfd_create para ejecutar cargas de memoria residente.
Esta revelación se produce simultáneamente con el anuncio de que el botnet InfectedSlurs está aprovechando activamente vulnerabilidades de seguridad ya parcheadas (desde CVE-2024-22768 hasta CVE-2024-22772 y CVE-2024-23842) que afectan a diversos modelos de dispositivos DVR de Hitron Systems para llevar a cabo ataques distribuidos de denegación de servicio (DDoS).
Gracias por apoyar el libre conocimiento con tu donación!
Bitcoin: bc1q4sw9260twfcxatj8mjp7358cyvrf8whzlelyhj
Ethereum: 0xFb93D2a3c9d1A0b83EE629c2dE1725BCa192e581
Litecoin: LbFduJmHvQXcpCnwfUT7aJ4DYoWSL3iQw8
Dogecoin: D7QQVqNR5rk215A4zd2gyzV9P2bLQtZHFV
Transferencia bancaria en México:
Cuenta CLABE: 646180224401848086 Nombre: Masterhacks LATAM Banco: STP
Este sitio web utiliza cookies. Si continuas navegando asumimos que aceptas el uso de cookies.Aceptar
Privacy & Cookies Policy
Privacy Overview
This website uses cookies to improve your experience while you navigate through the website. Out of these cookies, the cookies that are categorized as necessary are stored on your browser as they are essential for the working of basic functionalities of the website. We also use third-party cookies that help us analyze and understand how you use this website. These cookies will be stored in your browser only with your consent. You also have the option to opt-out of these cookies. But opting out of some of these cookies may have an effect on your browsing experience.
Necessary cookies are absolutely essential for the website to function properly. This category only includes cookies that ensures basic functionalities and security features of the website. These cookies do not store any personal information.
Any cookies that may not be particularly necessary for the website to function and is used specifically to collect user personal data via analytics, ads, other embedded contents are termed as non-necessary cookies. It is mandatory to procure user consent prior to running these cookies on your website.
