O ator de prenúncio por trás de uma botnet peer-to-peer (P2P) conhecida porquê Sapo Fritz retornou com uma novidade versão que aproveita a vulnerabilidade Log4Shell para se propagar internamente em uma rede já comprometida.
“A vulnerabilidade é explorada de maneira bruta, tentando atingir o maior número provável de aplicativos Java vulneráveis”, disse a empresa de infraestrutura e segurança web Akamai em um relatório compartilhado com o The Hacker News.
FritzFrog, documentado pela primeira vez pela Guardicore (agora segmento da Akamai) em agosto de 2020, é um malware fundamentado em Golang que tem porquê escopo principal servidores voltados para a Internet com credenciais SSH fracas. Sabe-se que está ativo desde janeiro de 2020.
Desde logo, evoluiu para lutar os setores de saúde, ensino e governo, muito porquê melhorou as suas capacidades para, em última instância, implantar mineradores de criptomoedas em hosts infectados, causando mais de 1.500 vítimas ao longo dos anos.
O que há de novo na versão mais recente é o uso da vulnerabilidade Log4Shell porquê um vetor de infecção secundário para primar especificamente hosts internos, em vez de atingir ativos vulneráveis acessíveis ao público. A Akamai está rastreando a atividade sob o nome Frog4Shell.
“Quando a vulnerabilidade foi invenção pela primeira vez, os aplicativos voltados para a Internet foram priorizados para correção devido ao risco significativo de comprometimento”, disse o pesquisador de segurança Ori David.
“Em contraste, as máquinas internas, que tinham menos verosimilhança de serem exploradas, eram frequentemente negligenciadas e permaneciam sem correção – uma estado da qual FritzFrog se aproveita.”
Isso significa que mesmo que os aplicativos voltados para a Internet tenham sido corrigidos, uma violação de qualquer outro endpoint pode expor sistemas internos não corrigidos à exploração e ajudar a propagar o malware.
O componente de força bruta SSH do FritzFrog também recebeu uma reformulação própria para identificar alvos SSH específicos, enumerando vários logs de sistema em cada uma de suas vítimas.
Outra mudança notável no malware é o uso da lapso PwnKit rastreada porquê CVE-2021-4034 para obter escalonamento de privilégios locais.
“O FritzFrog continua a empregar táticas para permanecer oculto e evitar a detecção”, disse David. “Em privado, é preciso zelo próprio para evitar descartar arquivos no disco quando provável.”
Isso é feito por meio do lugar de memória compartilhada /dev/shm, que também foi usado por outros malwares baseados em Linux, porquê BPFDoor e Commando Cat, e memfd_create para executar cargas residentes na memória.
A divulgação ocorre no momento em que a Akamai revela que o botnet InfectedSlurs está explorando ativamente falhas de segurança agora corrigidas (de CVE-2024-22768 a CVE-2024-22772 e CVE-2024-23842) impactando vários modelos de dispositivos DVR da Hitron Systems para lançar distribuídos ataques de negação de serviço (DDoS).
