FreakOut Botnet infecta gravadores de vídeo digital para mineração secreta de criptomoedas

No final do mês passado, os pesquisadores do Juniper Threat Labs observaram uma nova atividade do botnet FreakOut, também conhecido como Necro e N3Cr0m0rPh, que tinha como alvo DVRs de ferramentas visuais usados ​​em sistemas de vigilância por vídeo profissional.

Ele usa ativamente vários serviços, incluindo o exploit para Visual Tools DVR VX16 4.2.28.0. Depois de passar pela vulnerabilidade, o botnet é carregado no sistema para implantar o minerador Monero.

O FreakOut foi criado para realizar ataques DDoS e mineração secreta de criptomoedas. O botnet foi descoberto pela primeira vez em 2020 e sua funcionalidade se expandiu significativamente desde então.

De acordo com especialistas da Juniper, o bot FreakOut oferece suporte a muitos recursos, incluindo:

• Analisador de tráfego (sniffer de rede).
• Distribuição usando exploits.
• Propagação usando ataques de força bruta.
• Usando o Algoritmo de Geração de Domínio (DGA).
• Instalando um rootkit do Windows.
• Recebendo e executando comandos de bot.
• Participação em ataques DDoS.
• Infecção de arquivos HTML, JS, PHP.
• Instalando Monero Miner.

Nas versões mais recentes do botnet, o scanner SMB desapareceu e o endereço estático do servidor de controle foi alterado para um dinâmico. Ao contrário das versões anteriores do bot FreakOut, o último é capaz de lançar ataques DDoS usando o proxy TOR SOCKS.

Além do Visual Tools DVR, o botnet FreakOut pode atacar vários dispositivos usando exploits para vulnerabilidades como CVE-2020-15568 (no TerraMasterTOS até a versão 4.1.29), CVE-2021-2900 (afeta GenexisPlatinum 4410 2.1 P4410-V2- 1.28), CVE-2020-25494 (afeta XinuosOpenserverv5 ev6), CVE-2020-28188 (no TerraMasterTOS até a versão 4.2.06) e CVE-2019-12725 (encontrado no Zeroshell 3.9.0).

«Os gravadores de vídeo digital são um alvo bastante interessante para os criadores de botnets IoT, – Mikhail Zaitsev, um especialista em segurança da informação da SEQ, disse ao cnews.ru. – São adequados para a mineração criminosa de criptomoedas e para o lançamento de ataques DDoS, já que costumam usar um canal de comunicação com grande largura de banda. E, como muitos outros dispositivos IoT, os DVRs costumam ter problemas de segurança e firmware, então alguns exploits bem antigos funcionam com eles. Isso é observado neste caso. “