Pesquisadores da empresa de segurança Guardicore descobriram uma nova botnet peer-to-peer chamada FritzFrog, que tem como alvo servidores executando o serviço SSH (comumente usado por administradores para acesso remoto às máquinas) com senhas fracas.

Segundo a Guardicore, o FritzFrog é um malware altamente sofisticado, que inclui recursos avançados como cargas virais (payloads) armazenadas em memória, que nunca tocam os discos dos servidores infectados para não deixar rastro, binários constantemente atualizados, com pelo menos 20 versões encontradas desde janeiro, a capacidade de instalar “backdoors” em servidores infectados e uma lista de credenciais (pares de nome de usuário/senha) muito mais extensa do que o visto em outras botnets.

Servidores infectados são adicionados a uma rede P2P, de onde podem receber uma série de comandos para que enviem bancos de dados, logs e arquivos para seus operadores, ou executem scripts. Os bots se coordenam para realizar ataques de força bruta a outros servidores vulneráveis, usando a lista de credenciais, aumentando a quantidade de vítimas na rede.

A implementação P2P foi escrita do zero, o que segundo a Guardicore indica que os desenvolvedores são “altamente profissionais”. A estratégia distribuída evita que a botnet seja desfeita capturando e desativando o servidor de “comando e controle” (CNC) responsável pela rede, já que tal servidor não existe.

“O que nos intrigou nesta campanha foi que, à primeira vista, não havia um servidor CNC aparente aos qual as máquinas estavam se conectado”, disse Ophir Harpaz, pesquisadora da Guardicore. “Foi logo após começarmos uma investigação que compreendemos que um servidor CNC nunca existiu”.

Segundo Harpaz, a Guardicore encontrou a botnet em janeiro deste ano, e deste então ela tentou atacar “dezenas de milhares” de endereços IP pertencentes a agências governamentais, bancos, empresas de telecomunicações e universidades. No momento a rede tem 500 servidores pertencentes a “universidades conhecidas nos EUA e Europa, e uma companhia ferroviária”.

A Guardicore desenvolveu uma lista de indicadores de que um servidor pode estar comprometido, bem como um script de detecção do malware, disponíveis em seu repositório no Github. Uma análise mais detalhada do funcionamento da FritzFrog está disponível em um artigo no site da empresa.

 Fonte: GuardicoreImagem de abertura: Visualhunt