Um malware multiplataforma desenvolvido em linguagem Python que tem como alvo dispositivos Windows e Linux foi atualizado para se infiltrar em servidores VMware vCenter expostos na internet sem patch contra uma vulnerabilidade de execução remota de código (RCE) crítica que afeta todas as implantações do vCenter e corrigidos pela empresa há dez dias.
O malware, apelidado de FreakOut pelos pesquisadores da Check Point Software — também conhecido como Necro e N3Cr0m0rPh —, é um script Python ofuscado projetado para evitar a detecção usando um mecanismo polimórfico e um rootkit (malware projetada para permitir o acesso privilegiado a um computador ou a uma área do software não permitida) de modo de usuário que oculta arquivos maliciosos colocados em sistemas comprometidos.
O FreakOut se espalha explorando uma ampla gama de vulnerabilidades de sistemas operacionais e aplicativos e senhas de força bruta por SSH (protocolo Secure Shell) adicionando os dispositivos infectados a uma botnet IRC (com protocolo Internet Relay Chat) controlado pelos operadores do malware.
A funcionalidade central do malware permite que os operadores do FreakOut lancem ataques distribuídos de negação de serviço (DDoS), sistemas infectados de backdoor e “farejem” e exfiltrem o tráfego de rede e implantem mineradores XMRig para minerar a criptomoeda Monero
Malware atualizado
Como os pesquisadores da Cisco Talos compartilharam em um relatório publicado na sexta-feira, 4, os desenvolvedores do FreakOut têm trabalhado arduamente para melhorar as capacidades de propagação do malware desde o início de maio, quando a atividade da botnet aumentou repentinamente.
“Embora o bot tenha sido descoberto originalmente no início deste ano, a atividade mais recente mostra inúmeras mudanças, que vão desde diferentes comunicações de comando e controle [C&C] e a adição de novos exploits para propagação, principalmente vulnerabilidades no VMWare vSphere, SCO OpenServer, Vesta Control Panel e exploits baseados em SMB que não estavam presentes nas iterações anteriores do código”, disse Vanja Svajcer, pesquisador de segurança da Cisco Talos ao site Bleeping Computer.
Veja isso
Dell Technologies anuncia início do processo de spin-off da VMware
Falha já corrigida pela VMware ainda expõe milhares de VMs
Os bots FreakOut procuram novos sistemas para atingir, gerando aleatoriamente intervalos de rede ou nos comandos enviados pelo IRC através do servidor de comando e controle. Para cada endereço IP na lista de varredura, o bot tentará usar uma das explorações integradas ou fazer login usando uma lista codificada de credenciais SSH.
Enquanto as primeiras versões do FreakOut eram capazes de explorar apenas versões vulneráveis dos aplicativos da web Lifearay, Laravel, WebLogic, TerraMaster e Zend Framework, as últimas têm mais do que o dobro do número de exploits embutidos.
Milhares de servidores expostos
A vulnerabilidade do VMware vCenter (CVE-2021-21972) está presente no plug-in vCenter para vRealize Operations (vROps) e é particularmente interessante porque afeta todas as instalações padrão do vCenter Server. Milhares de servidores vCenter sem patch estão atualmente acessíveis pela internet.
Os invasores já fizeram uma varredura em massa em busca de servidores vCenter vulneráveis expostos depois que os pesquisadores de segurança publicaram um código de exploração de prova de conceito (PoC). Hackers do Serviço de Inteligência Estrangeiro Russo (SVR) também adicionaram exploits CVE-2021-21972 ao seu arsenal em fevereiro, explorando-os ativamente em campanhas em andamento.
As vulnerabilidades do VMware também foram exploradas no passado em ataques de ransomware direcionados a redes corporativas. Como revelou o Cisco Talos, os operadores do FreakOut também foram vistos implantando uma variedade de ransomware personalizado, mostrando que estão experimentando ativamente novas cargas maliciosas.
