La botnet FritzFrog, che sfrutta SSH, continua a colpire. E a crescere…

botnet

Virus, Malware, Ransomware, Fraud, Spam, Phishing, Email Scam, Hacker Attack – IT Security Concept Design, Vector illustration

Circa 18 mesi fa vi abbiamo raccontato di FritzFrog, una botnet specificamente studiata per sfruttare SSH (Secure SHell) per ottenere accesso ai sistemi.

Le caratteristiche avanzate di questo malware erano parecchie, e le riassumiamo di seguito:

  • possibilità di caricare il payload in memoria (per non dover usare il disco, spesso monitorato più strettamente);
  • comunicazioni criptate P2P;
  • uso della connessione SSH stessa per la comunicazione;
  • uso di chiavi SSH (per ignorare eventuali reset delle password degli account compromessi);
  • controllo decentralizzato (così da non poter essere fermato dalla distruzione del server centrale di controllo);
  • almeno 20 versioni diverse in pochi mesi (da gennaio 2020, data di scoperta, ad agosto 2020, data dell’articolo);
  • capacità di distribuire i bersagli tra tutti i nodi disponibili (per evitare di attaccare in 2 lo stesso bersaglio);
  • scritto in golang;
  • attacco sia macchine Linux che Windows.

Gli obbiettivi sembravano limitati a grandi università e uffici governativi, tanto che l’infezione pareva sotto controllo. E invece negli ultimi mesi le rilevazioni di Akamai (ex Guardicore Labs, gli scopritori) hanno segnato almeno 1500 server compromessi. E non solo il numero di server è 3 volte superiore all’ultima volta, ma il malware è stato ulteriormente sviluppato. Sempre il tutto in sintesi:

  • aumento dei comandi disponibili, per usare anche scp e non solo netcat;
  • uso di proxy per poter fare collegamenti SSH;
  • l’uso di proxy cerca specificamente la porta 9050, della rete Tor, per mascherare ulteriormente le proprie connessioni;
  • possibilità di infettare siti WordPress;
  • evitare server con poche risorse (come RaspberryPi).

Non tutte le caratteristiche, benché presenti nel codice, sono state attivate. Ancora.
Ma c’è un ultimo giochino: forse perché consapevoli di essere monitorati, tra i nuovi comandi se ne trova uno solo per mostrare un’immagine simpatica.

fritzfrog image

La curiosità uccise il gatto (immagine dal post di AKAMAI)

Non è ancora chiaro chi siano gli autori, ma un indizio è data dalla diffusione, prevalentemente in Cina.

L’unico altro indizio è l’indirizzo di un wallet di cryptovaluta legato anch’esso a gruppi cinesi di operatori di botnet ; peraltro arrestati a Settembre scorso.

L’unico modo per proteggersi è quanto già detto l’altra volta: controllare ogni tanto le chiavi SSH autorizzate dei nostri account, per controllare che non ce ne siano di aliene. Magari, Ansible o altri strumenti automatici potranno esservi d’aiuto.

Ho coltivato la mia passione per l’informatica fin da bambino, coi primi programmi BASIC. In età adulta mi sono avvicinato a Linux ed alla programmazione C, per poi interessarmi di reti. Infine, il mio hobby è diventato anche il mio lavoro.
Per me il modo migliore di imparare è fare, e per questo devo utilizzare le tecnologie che ritengo interessanti; a questo scopo, il mondo opensource offre gli strumenti perfetti.

Fonte: https://www.miamammausalinux.org/2022/02/fritzfrog-continua-a-colpire-e-a-crescere/

Visited 1 times, 1 visit(s) today
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!

Hai dubbi o problemi? Ti aiutiamo noi!

Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.
Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.
Amazon Music
Scopri le ultime offerte per dischi ssd su Acquista su Amazon
Scopri le ultime offerte per memorie RAM DDR su Acquista su Amazon
Scopri le ultime offerte per Chromebook su Acquista su Amazon
Scopri le ultime offerte per Raspberry su Acquista su Amazon

Potrebbero interessarti anche...

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Questo sito usa Akismet per ridurre lo spam. Scopri come i tuoi dati vengono elaborati.