Le malware FreakOut cible des appareils Linux

Les chercheurs mettent en garde contre un nouveau malware nommé FreakOut qui cible les appareils Linux, afin d’ajouter des points de terminaison à un botnet pour ensuite être utilisés dans les attaques par déni de service distribué (DDoS) et le crypto-minage.

FreakOut a une très grande variété de fonctionnalités. Ceux-ci incluent l’analyse des ports, la collecte d’informations et le sniffing des paquets de données et du réseau. Il ajoute activement des appareils Linux infectés à un botnet et a la capacité de lancer des attaques DDoS et d’inondation de réseau, ainsi que des activités de crypto-minage.

«S’il est exploité avec succès, chaque appareil infecté par le malware FreakOut peut être utilisé comme plate-forme d’attaque télécommandée par les pirates informatiques derrière l’attaque, ce qui leur permet de cibler d’autres appareils vulnérables pour étendre leur réseau de machines infectées», ont déclaré des chercheurs de Check Point Research dans une analyse.

Comment FreakOut exploite des failles critiques?

FreakOut cible d’abord les périphériques Linux qui utilisent des produits spécifiques qui n’ont pas été corrigés contre diverses failles.

Il s’agit notamment d’une faille critique d’exécution de commande à distance (CVE-2020-28188) dans TerraMaster TOS (TerraMaster Operating System), un fournisseur de périphériques de stockage de données populaire. Les versions antérieures à 4.2.06 sont affectées, tandis qu’un correctif sera disponible dans la version 4.2.07.

linux

Un problème de désérialisation critique (CVE-2021-3007) dans Zend Framework, une collection populaire de packages de bibliothèques utilisée pour créer des applications Web, est également ciblé. Cette faille existe dans les versions supérieures à Zend Framework 3.0.0.

«Le mainteneur ne prend plus en charge Zend Framework, et le fournisseur de lamins-http a publié un correctif pertinent pour cette vulnérabilité qui devrait utiliser le patch de la version 2.14.x», ont déclaré les chercheurs.

Enfin, les attaquants ciblent un problème critique de désérialisation de données non fiables (CVE-2020-7961) dans Liferay Portal, un portail d’entreprise gratuit et open source, avec des fonctionnalités pour développer des portails Web et des sites Web. Les versions antérieures à 7.2.1 CE GA2 sont concernées; une mise à jour est disponible dans Liferay Portal 7.2 CE GA2 (7.2.1) ou version ultérieure.

«Des correctifs sont disponibles pour tous les produits concernés par ces CVE, et les utilisateurs de ces produits sont invités à vérifier de toute urgence les appareils qu’ils utilisent, à les mettre à jour et à les corriger pour éliminer ces vulnérabilités», ont déclaré les chercheurs.

La surface d’attaque de FreakOut

Les chercheurs ont déclaré qu’après avoir exploité l’une de ces failles critiques, les individus malveillants téléchargent ensuite un script Python obscurci appelé out.py, téléchargé à partir du site https://gxbrowser[.]net.

«Une fois le script téléchargé et que les autorisations sont obtenues (à l’aide de la commande‘ chmod ’), l’attaquant tente de l’exécuter en utilisant Python 2», ont-ils déclaré. “Python 2 a atteint sa fin de vie l’année dernière, ce qui signifie que l’attaquant suppose que ce produit obsolète est installé sur l’appareil de la victime.”

freakout

Ce script a différentes capacités, y compris une fonction d’analyse de port, la capacité de collecter les empreintes digitales du système (telles que les adresses de périphériques et les informations de mémoire), la création et l’envoi de paquets et des capacités de force brute à l’aide d’informations d’identification codées en dur pour infecter d’autres périphériques réseau.

Selon une analyse approfondie du principal serveur de commande et de contrôle (C2) des attaquants, environ 185 appareils ont été piratés à ce jour.

Les chercheurs ont déclaré qu’entre le 8 et le 13 janvier 2021, ils avaient observé 380 tentatives d’attaque (bloquées) contre des clients. La plupart de ces tentatives ont eu lieu en Amérique du Nord et en Europe occidentale, les secteurs les plus ciblés étant la finance, le gouvernement et les organismes de santé.

Pour se protéger contre FreakOut, les chercheurs recommandent aux utilisateurs de périphériques Linux qui utilisent TerraMaster TOS, Zend Framework ou Liferay Portal de s’assurer qu’ils ont déployé tous les correctifs. «Nous recommandons vivement aux utilisateurs de vérifier et de corriger leurs serveurs et leurs périphériques Linux afin d’empêcher l’exploitation de telles vulnérabilités par FreakOut», ont-ils déclaré.

Partagez cet article!

S’abonner
Notifier de
guest
0 Commentaires
Annotations
Voir tout les commentaires