FritzFrog regresa con Log4Shell y PwnKit, propagando malware dentro de su red

El botnet P2P FritzFrog regresa con una nueva variante que utiliza la vulnerabilidad de Log4Shell, según un informe de la compañía de seguridad Akamai. Esta vulnerabilidad se está explotando a través de ataques de fuerza bruta dirigidos a aplicaciones Java vulnerables. FritzFrog es un malware basado en Golang que se dirige a servidores de Internet con credenciales SSH débiles y se sabe que está activo desde enero de 2020. Desde entonces, ha evolucionado para atacar sectores como la salud, la educación y el gobierno y para implementar mineros de criptomonedas en hosts infectados.

Lo novedoso de la última versión del malware es su capacidad para propagarse internamente dentro de una red ya comprometida utilizando la vulnerabilidad de Log4Shell. Esto significa que incluso si las aplicaciones de Internet se han parcheado, una violación de cualquier otro punto final puede exponer a los sistemas internos sin parchear a la explotación y propagar el malware. Además de la vulnerabilidad de Log4Shell, FritzFrog también utiliza tecnologías de memoria compartida como /dev/shm y memfd_create para ejecutar cargas útiles residentes en memoria y evitar la caída de archivos en el disco.

El botnet también ha actualizado su componente de fuerza bruta de SSH para identificar objetivos específicos y ha utilizado la falla PwnKit para lograr la elevación de privilegios locales. A pesar de los esfuerzos por permanecer oculto, FritzFrog sigue siendo una amenaza activa para empresas y organizaciones gubernamentales, lo que aumenta la necesidad de implementar medidas de seguridad efectivas. En noticias relacionadas, Akamai también ha informado que el botnet InfectedSlurs está explotando activamente varias vulnerabilidades ahora parcheadas en múltiples modelos de dispositivos DVR de Hitron Systems para lanzar ataques de DDoS.

Vía The Hacker News