Malware DDoS RapperBot adiciona cryptojacking como nova fonte de receita
11 de Maio de 2023

Novas amostras do malware da botnet RapperBot adicionaram capacidades de cryptojacking para minerar criptomoedas em máquinas Intel x64 comprometidas.

A mudança ocorreu gradualmente, com os desenvolvedores adicionando primeiro o componente de criptomineração separadamente do malware da botnet.

No final de janeiro, as funcionalidades da botnet e da criptomineração foram combinadas em uma única unidade.

Os pesquisadores do FortiGuard Labs da Fortinet têm monitorado a atividade do RapperBot desde junho de 2022 e relataram que a botnet baseada em Mirai se concentra em forçar servidores Linux SSH para recrutá-los para lançar ataques distribuídos de negação de serviço (DDoS).

Em novembro, os pesquisadores encontraram uma versão atualizada do RapperBot que usava um mecanismo de autopropagação Telnet e incluía comandos DoS mais adequados para ataques a servidores de jogos.

O FortiGuard Labs relatou esta semana sobre uma variante atualizada do RapperBot que usa o minerador Monero XMRig em arquiteturas Intel x64.

A empresa de segurança cibernética diz que esta campanha está ativa desde janeiro e tem como alvo principalmente dispositivos IoT.

O código do minerador agora está integrado ao RapperBot, obfuscado com codificação de XOR de dupla camada, o que efetivamente oculta os pools de mineração e os endereços de mineração de Monero dos analistas.

O FortiGuard Labs descobriu que a botnet recebe sua configuração de mineração do servidor de comando e controle (C2) em vez de ter endereços de pool estáticos codificados, e usa vários pools e carteiras para redundância.

O endereço IP do C2 até hospeda dois proxies de mineração para obfuscar ainda mais o rastro.

Se o C2 ficar offline, o RapperBot é configurado para usar um pool de mineração público.

Para maximizar o desempenho de mineração, o malware enumera os processos em execução no sistema comprometido e termina aqueles correspondentes a mineradores concorrentes.

Na versão mais recente do RapperBot analisada, o protocolo de rede binário para comunicação C2 foi reformulado para usar uma abordagem de codificação de duas camadas para evadir a detecção de monitores de tráfego de rede.

Além disso, o tamanho e os intervalos de solicitações enviadas ao servidor C2 são randomizados para tornar a troca mais discreta, assim tornando padrões facilmente reconhecíveis.

Embora os pesquisadores não tenham observado quaisquer comandos DDoS enviados do servidor C2 para as amostras analisadas, eles descobriram que a versão mais recente do bot suporta os seguintes comandos:
O RapperBot parece estar evoluindo rapidamente e expandindo a lista de recursos para maximizar os lucros do operador.

Para proteger dispositivos do RapperBot e de malwares semelhantes, os usuários são aconselhados a manter o software atualizado, desativar serviços desnecessários, alterar senhas padrão para algo forte e usar firewalls para bloquear solicitações não autorizadas.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...