FritzFrog to botnet peer-to-peer (P2P) pozostający aktywny co najmniej od stycznia 2020r. Z pomocą technik takich jak m.in. atak brute force rozprzestrzenił się na dziesiątki milionów adresów IP, w tym należących do organów rządowych, banków, firm telekomunikacyjnych, centrów medycznych i instytucji edukacyjnych.

Mamy do czynienia z kolejnym zagrożeniem typu fileless. Po „wdarciu” się na serwer malware wykonuje wszystkie operacji w pamięci. W ten sposó atakujący są w stanie skutecznie uniknąć wczesnego wykrycia.

Po uruchomieniu FritzFrog rozpakowuje złośliwe elementy – pliki ifconfig i nginx – oraz konfiguruje środowisku w taki sposób aby monitorować port 1234, za którego pośrednictwem atakujący przekazują kolejne polecenia. Z uwagi na to, że taka komunikacja byłaby jednak łatwa do wykrycia, atakujący łączą się z przejętym urządzeniem poprzez SSH i uruchamiają klienta netcat.

Pierwsza komenda włącza zaatakowaną maszynę do sieci urządzeń znajdujących się już w rękach cyberprzestępców. Następne polecenia – szyfrowane z pomocą AES – umożliwiają dopisanie publicznego klucza SSH-RSA do pliku authorized_keys. W ten sposób przestępcy tworzą sobie dodatkowego backdoor’a. W celu monitorowania zasobów komputera ofiary, użycia procesora oraz monitorowania sieci uruchamiają oni również odpowiednie polecenia powłoki. Następnie malware może przystąpić do rozprzestrzeniania się za pomocą protokołu SSH.

Głównym celem FritzFrog jest kopanie kryptowalut. Jeśli aktywne procesy „niepotrzenie” zajmują zasoby procesora, złośliwe oprogramowanie może je zabić, aby zapewnić jak największą moc od wydobywania kryptowalut.

Co ciekawe, protokół P2P użyty do komunikacji nie jest oparty na żadnej istniejącej implementacji, takiej jak μTP. Może to sugerować, że atakującymi są wysoce wykwalifikowanymi programistami. Na ten moment są oni nieznani. Specjaliści jednak doszukali się już pewnych podobieństw pomiędzy FritzFrog a Rakos, botnetem odkrytym w 2016 roku.

Źródło