Programari maliciós RapperBot

Els investigadors de Infosec han identificat un perillós programari maliciós IoT (Internet de les coses), rastrejat com a RapperBot. L'anàlisi de l'amenaça ha revelat que els seus creadors han utilitzat molt el codi font de l'infame Mirai Botnet . L'amenaça Mirai es va utilitzar en diversos atacs d'alt perfil abans que el seu codi font es filtrés al públic l'octubre de 2016. Des de llavors, els investigadors de ciberseguretat han identificat més de 60 variants de botnet i programari maliciós utilitzant Mirai com a base. Tanmateix, quan es tracta de RapperBot, l'amenaça mostra diverses desviacions importants del comportament típic de Mirai.

Els detalls sobre RapperBot es van publicar recentment en un informe d'investigadors de seguretat. Segons les seves conclusions, l'amenaça ha estat activa des del juny de 2022 i està experimentant un ràpid desenvolupament. L'amenaça de la botnet utilitza tàctiques de força bruta per assentar-se als servidors SSH de Linux, a diferència de la implementació més típica de Mirai d'orientar els servidors Telnet.

Segons l'informe, RapperBot està fent créixer ràpidament els seus servidors SSH esclavitzats amb més de 3.500 adreces IP úniques que escanegen Internet i s'introdueixen en noves víctimes. RapperBot també sembla haver deixat enrere les seves tècniques d'autopropagació semblants a Mira a favor de mètodes més basats en la persistència. Com a resultat, l'amenaça pot romandre al sistema infectat fins i tot després d'un reinici o un intent d'eliminació per part de les víctimes.

L'accés als servidors violats s'aconsegueix mitjançant l'addició de la clau pública SSH dels operadors. La clau s'injecta en un fitxer específic anomenat '~/.ssh/authorized_keys'. Després, els actors de l'amenaça podran connectar-se lliurement al servidor i autenticar-se utilitzant només la clau privada corresponent sense necessitat de proporcionar una contrasenya. Aquesta tècnica mantindrà l'accés al servidor fins i tot si les credencials SSH s'actualitzen o l'autenticació de contrasenya SSH està desactivada. A més, en substituir el fitxer legítim, els ciberdelinqüents han suprimit totes les claus autoritzades actualment existents, impedint que els usuaris legítims accedeixin amb èxit al servidor SSH compromès mitjançant l'autenticació de clau pública.

Els objectius dels operadors de RapperBot Malware segueixen sent nebulosos. Per exemple, els actors de l'amenaça eliminen completament les capacitats DDoS (Distributed Denial-of-Service) de l'amenaça, només per reintroduir aquesta última, de forma limitada.