I ricercatori di Check Point Research hanno riscontrato diversi attacchi che sfruttano molteplici vulnerabilità e che coinvolgono una nuova variante di malware denominata “FreakOut”. «L’obiettivo alla base di questi attacchi è creare una botnet IRC (una raccolta di macchine infettate da malware che può essere controllata in remoto), che può quindi essere utilizzata per attività dannose, come il lancio di attacchi DDoS su reti di altre organizzazioni, o per attività di crypto-mining su macchine infette, che può potenzialmente arrestare interi sistemi infetti, comunicato gli esperti.
Gli attacchi sono rivolti ai dispositivi Linux che eseguono uno dei seguenti prodotti, che hanno tutti vulnerabilità relativamente nuove che vengono sfruttate dal malware FreakOut se i prodotti non hanno ricevuto patch:
- TerraMaster TOS (TerraMaster Operating System), un noto fornitore di dispositivi di archiviazione dati
- Zend Framework, una popolare raccolta di pacchetti di librerie, utilizzata per la creazione di applicazioni web
- Liferay Portal, un portale aziendale gratuito e open source, con funzionalità per lo sviluppo di portali web e siti web.
Se sfruttato con successo, ogni dispositivo infettato dal malware FreakOut può essere utilizzato come piattaforma di attacco controllata a distanza dagli attori della minaccia dietro l’attacco, consentendo loro di prendere di mira altri dispositivi vulnerabili per espandere la propria rete di macchine infette.
Le funzionalità del malware FreakOut includono la scansione delle porte, la raccolta di informazioni, la creazione e l’invio di pacchetti di dati, lo sniffing della rete e la capacità di lanciare attacchi DDoS e di inondazione della rete.
“FreakOut” è una campagna di attacco che sfrutta tre vulnerabilità, incluse alcune appena rilasciate, per compromettere server diversi. L’attore della minaccia dietro l’attacco, denominato “Freak”, è riuscito a infettare molti dispositivi in un breve periodo di tempo e li ha incorporati in una botnet, che a sua volta potrebbe essere utilizzata per attacchi DDoS e crypto-mining. Tali campagne di attacco evidenziano l’importanza e il significato del controllo e della protezione delle risorse su base continuativa. Questa campagna in corso può diffondersi rapidamente, come abbiamo visto», concludono i ricercatori.