Novas amostras do malware da botnet RapperBot adicionaram capacidades de cryptojacking para minerar criptomoedas em máquinas Intel x64 comprometidas.
A mudança ocorreu gradualmente, com os desenvolvedores adicionando primeiro o componente de criptomineração separadamente do malware da botnet.
No final de janeiro, as funcionalidades da botnet e da criptomineração foram combinadas em uma única unidade.
Os pesquisadores do FortiGuard Labs da Fortinet têm monitorado a atividade do RapperBot desde junho de 2022 e relataram que a botnet baseada em Mirai se concentra em forçar servidores Linux SSH para recrutá-los para lançar ataques distribuídos de negação de serviço (DDoS).
Em novembro, os pesquisadores encontraram uma versão atualizada do RapperBot que usava um mecanismo de autopropagação Telnet e incluía comandos DoS mais adequados para ataques a servidores de jogos.
O FortiGuard Labs relatou esta semana sobre uma variante atualizada do RapperBot que usa o minerador Monero XMRig em arquiteturas Intel x64.
A empresa de segurança cibernética diz que esta campanha está ativa desde janeiro e tem como alvo principalmente dispositivos IoT.
O código do minerador agora está integrado ao RapperBot, obfuscado com codificação de XOR de dupla camada, o que efetivamente oculta os pools de mineração e os endereços de mineração de Monero dos analistas.
O FortiGuard Labs descobriu que a botnet recebe sua configuração de mineração do servidor de comando e controle (C2) em vez de ter endereços de pool estáticos codificados, e usa vários pools e carteiras para redundância.
O endereço IP do C2 até hospeda dois proxies de mineração para obfuscar ainda mais o rastro.
Se o C2 ficar offline, o RapperBot é configurado para usar um pool de mineração público.
Para maximizar o desempenho de mineração, o malware enumera os processos em execução no sistema comprometido e termina aqueles correspondentes a mineradores concorrentes.
Na versão mais recente do RapperBot analisada, o protocolo de rede binário para comunicação C2 foi reformulado para usar uma abordagem de codificação de duas camadas para evadir a detecção de monitores de tráfego de rede.
Além disso, o tamanho e os intervalos de solicitações enviadas ao servidor C2 são randomizados para tornar a troca mais discreta, assim tornando padrões facilmente reconhecíveis.
Embora os pesquisadores não tenham observado quaisquer comandos DDoS enviados do servidor C2 para as amostras analisadas, eles descobriram que a versão mais recente do bot suporta os seguintes comandos:
O RapperBot parece estar evoluindo rapidamente e expandindo a lista de recursos para maximizar os lucros do operador.
Para proteger dispositivos do RapperBot e de malwares semelhantes, os usuários são aconselhados a manter o software atualizado, desativar serviços desnecessários, alterar senhas padrão para algo forte e usar firewalls para bloquear solicitações não autorizadas.
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...