Los actores de amenazas continúan evolucionando, adaptando sus técnicas para burlar las defensas y explotar nuevas vulnerabilidades. Una de estas amenazas, conocida como FritzFrog, ha resurgido con una nueva táctica alarmante, aprovechando vulnerabilidades críticas para infiltrarse y comprometer sistemas en todo el mundo.
¿Qué es FritzFrog?
FritzFrog es un sofisticado malware de red P2P (peer-to-peer) que ha estado activo desde al menos 2020. Se caracteriza por su enfoque descentralizado, lo que le permite ejecutar comandos y distribuir cargas útiles sin necesidad de un servidor central. Esto hace que sea especialmente difícil de detectar y erradicar, ya que elimina muchos de los puntos únicos de falla que los defensores pueden atacar en campañas de malware tradicionales.
Conoce más sobre: Entendiendo la Red Zombie: Su Impacto en la Ciberseguridad
El Regreso de FritzFrog: Explotando Log4Shell
El actor de amenazas que opera una botnet peer-to-peer (P2P) ha lanzado una nueva variante que utiliza la vulnerabilidad Log4Shell para propagarse dentro de una red previamente comprometida.
Según un informe de una empresa de seguridad e infraestructura web, esta vulnerabilidad se explota mediante fuerza bruta y se dirige a aplicaciones Java vulnerables en la red. La botnet conocida como FritzFrog, que fue identificada por primera vez en agosto de 2020, es un malware basado en Golang que se enfoca en servidores con credenciales SSH débiles en Internet. Ha estado activa desde enero de 2020 y ha evolucionado con el tiempo para atacar a diversos sectores, incluyendo salud, educación y gobierno. Su objetivo final es instalar mineros de criptomonedas en los sistemas infectados, habiendo afectado a más de 1.500 víctimas a lo largo de los años.
Lo más destacado de la última versión de FritzFrog es su uso de la vulnerabilidad Log4Shell como un vector de infección secundario para identificar específicamente los sistemas internos en lugar de enfocarse en activos vulnerables de acceso público. Este enfoque permite a la botnet apuntar a máquinas internas que a menudo son descuidadas y no se actualizan, ya que se considera que tienen menos probabilidad de ser explotadas. Este nuevo enfoque se ha denominado como "Frog4Shell" por los investigadores de seguridad.
Te podrá interesar leer: Ataques de Cryptojacking: Protección de Recursos
Esto implica que, incluso si se han aplicado parches a las aplicaciones accesibles desde Internet, un compromiso en otro punto final puede exponer los sistemas internos no parcheados a posibles ataques y facilitar la propagación del malware.
La función de fuerza bruta SSH de FritzFrog también ha sido mejorada para identificar objetivos SSH específicos mediante la enumeración de registros del sistema en las víctimas seleccionadas. Otro cambio importante en el malware involucra la explotación de la vulnerabilidad conocida como PwnKit, identificada como CVE-2021-4034, para llevar a cabo una escalada de privilegios local.
Un investigador mencionó que "FritzFrog sigue aplicando tácticas para mantenerse oculto y evadir la detección", destacando su precaución en evitar dejar rastros en el disco siempre que sea posible.
Este enfoque se logra al utilizar la ubicación de memoria compartida /dev/shm, una técnica previamente empleada por otros malware basados en Linux, como BPFDoor y Commando Cat, así como la función memfd_create para ejecutar cargas útiles que residen en la memoria.
La divulgación de estos detalles se produce después de la revelación de que la botnet InfectedSlurs está actualmente aprovechando vulnerabilidades de seguridad que ya han sido parcheadas (desde CVE-2024-22768 hasta CVE-2024-22772 y CVE-2024-23842) que afectan a múltiples modelos de dispositivos DVR de Hitron Systems con el propósito de llevar a cabo ataques de denegación de servicio distribuido (DDoS).
Te podrá interesar: Nuevo Malware SprySOCKS Linux vinculado a Ciberespionaje
Conclusión
El regreso de FritzFrog sirve como un recordatorio oportuno de que las amenazas cibernéticas están en constante evolución, buscando explotar nuevas vulnerabilidades y adaptándose a las estrategias de defensa. La explotación de vulnerabilidades críticas como Log4Shell por parte de FritzFrog destaca la importancia de una vigilancia continua y la adopción de prácticas de ciberseguridad robustas.
Mantenerse informado sobre las últimas tendencias y amenazas en ciberseguridad, junto con la implementación de medidas de protección recomendadas, puede ayudar a las organizaciones a defenderse contra actores de amenazas sofisticados como FritzFrog. En el paisaje cibernético de hoy, la prevención, detección temprana, y una respuesta rápida pueden marcar la diferencia entre una infracción menor y una violación de datos catastrófica.