Threat Database Malware RapperBot Malware

RapperBot Malware

Os pesquisadores de Infosec identificaram um malware perigoso da IoT (Internet das Coisas), rastreado como RapperBot. A análise da ameaça revelou que seus criadores usaram fortemente o código-fonte do infame Mirai Botnet. A ameaça Mirai foi usada em vários ataques de alto perfil antes de seu código-fonte vazar para o público em outubro de 2016. Desde então, pesquisadores de segurança cibernética identificaram mais de 60 variantes de botnet e malware usando Mirai como base. No entanto, quando se trata do RapperBot, a ameaça exibe vários desvios importantes do comportamento típico do Mirai.

Detalhes sobre o RapperBot foram divulgados recentemente em um relatório dos pesquisadores de segurança. De acordo com suas descobertas, a ameaça está ativa desde junho de 2022 e está passando por um rápido desenvolvimento. A ameaça de botnet usa táticas de força bruta para se firmar em servidores SSH Linux, ao contrário da implementação Mirai mais típica de direcionar servidores Telnet.

De acordo com o relatório, o RapperBot está aumentando rapidamente seus servidores SSH escravizados com mais de 3.500 endereços de IP exclusivos varrendo a Internet e forçando seu caminho para novas vítimas. O RapperBot também parece ter deixado para trás suas técnicas de auto-propagação semelhantes ao Mirai em favor de métodos mais baseados em persistência. Como resultado, a ameaça pode permanecer no sistema infectado mesmo após uma reinicialização ou tentativa de remoção pelas vítimas.

O acesso aos servidores violados é obtido através da adição da chave pública SSH dos operadores. A chave é injetada em um arquivo específico chamado '~/.ssh/authorized_keys.' Posteriormente, os agentes de ameaças poderão se conectar livremente ao servidor e autenticar usando apenas a chave privada correspondente, sem a necessidade de fornecer uma senha. Essa técnica manterá o acesso ao servidor mesmo se as credenciais SSH forem atualizadas ou a autenticação de senha SSH estiver desabilitada. Além disso, ao substituir o arquivo legítimo, os cibercriminosos excluíram todas as chaves autorizadas existentes atualmente, impedindo que usuários legítimos acessem com sucesso o servidor SSH comprometido por meio da autenticação de chave pública.

Os objetivos dos operadores do RapperBot Malware permanecem nebulosos. Por exemplo, os agentes de ameaças removem completamente os recursos DDoS (Distributed Denial-of-Service) da ameaça, apenas para reintroduzir o último, de forma limitada.

Tendendo

Mais visto

Carregando...