تحقیقات جدید نشان می‌دهد نسخ جدید بدافزار FreakOut قادر به آلوده‌سازی سرورهای آسیب‌پذیر VMware vCenter هستند.

تحقیقات جدید نشان می‌دهد نسخ جدید بدافزار FreakOut قادر به آلوده‌سازی سرورهای آسیب‌پذیر VMware vCenter هستند.

به گزارش افتانا (پایگاه خبری امنیت فناوری اطلاعات)، بدافزار FreakOut که با نام‌های Necro و N۳Cr۰m۰rPh نیز شناخته می‌شود، بدافزاری مبتنی بر Python است که دستگاه‌های Windows و Linux را هدف قرار می‌دهد. نخستین‌بار در زمستان سال گذشته، چک پوینت با انتشار گزارش زیر جزئیات این بدافزار را به‌صورت عمومی منتشر کرد:
https://research.checkpoint.com/۲۰۲۱/freakout-leveraging-newest-vulnerabilities-for-creating-a-botnet/

FreakOut اسکریپتی مبهم ‌سازی شده (Obfuscated) است که هسته چندشکلی (Polymorphic) و قابلیت روتکیتی مبتنی بر کاربر (User-mode Rootkit) آن، فایل‌های مخرب ایجاد شده توسط بدافزار را از دید محصولات امنیتی مخفی نگاه می‌دارد.
این بدافزار با بهره‌گیری از چندین آسیب‌پذیری در سیستم‌های عامل و برنامه‌ها و اجرای حملات Brute-force در بستر SSH، دستگاه‌ها را به شبکه مخرب (Botnet) خود ملحق می‌کند.

قابلیت‌های پایه این بدافزار مهاجمان را قادر به اجرای حملات DDoS، راه‌اندازی درب پشتی روی سامانه‌های آلوده، اجرای باج‌افزار، شنود ترافیک شبکه و اجرای ابزارهای استخراج‌کننده نظیر XMRig می‌کند.

بر اساس گزارشی که شرکت سیسکو در خردادماه منتشر کرد گردانندگان FreakOut از اواخر اردیبهشت که فعالیت شبکه مخرب آن ناگهان افزایش‌یافته، در حال تکامل امکانات انتشار این بدافزار بوده‌اند. ازجمله این تغییرات می‌توان به برقراری ارتباطات متفاوت با سرور فرماندهی (C۲) و افزوده شدن قابلیت سوءاستفاده از آسیب‌پذیری‌هایی علاوه بر موارد پیشین اشاره کرد.

دستگاه‌های آلوده بهFreakOut ، دستگاه‌های دیگر را بر اساس نشانی‌هایی که به‌صورت تصادفی استخراج شده‌اند یا نشانی‌هایی که از سوی سرور فرماندهی در بستر IRC ارسال می‌شوند شناسایی می‌کنند. به‌ازای هر IP استخراج شده، دستگاه آلوده تلاش می‌کند تا با به‌کارگیری یکی از اکسپلویت‌های خود یا اطلاعات اصالت‌سنجی SSH درج شده در کد بدافزار، به آن نفوذ کند.