Novas amostras do malware da botnet RapperBot adicionaram capacidades de cryptojacking para minerar criptomoedas em máquinas Intel x64 comprometidas.
A mudança ocorreu gradualmente, com os desenvolvedores adicionando primeiro o componente de criptomineração separadamente do malware da botnet.
No final de janeiro, as funcionalidades da botnet e da criptomineração foram combinadas em uma única unidade.
Os pesquisadores do FortiGuard Labs da Fortinet têm monitorado a atividade do RapperBot desde junho de 2022 e relataram que a botnet baseada em Mirai se concentra em forçar servidores Linux SSH para recrutá-los para lançar ataques distribuídos de negação de serviço (DDoS).
Em novembro, os pesquisadores encontraram uma versão atualizada do RapperBot que usava um mecanismo de autopropagação Telnet e incluía comandos DoS mais adequados para ataques a servidores de jogos.
O FortiGuard Labs relatou esta semana sobre uma variante atualizada do RapperBot que usa o minerador Monero XMRig em arquiteturas Intel x64.
A empresa de segurança cibernética diz que esta campanha está ativa desde janeiro e tem como alvo principalmente dispositivos IoT.
O código do minerador agora está integrado ao RapperBot, obfuscado com codificação de XOR de dupla camada, o que efetivamente oculta os pools de mineração e os endereços de mineração de Monero dos analistas.
O FortiGuard Labs descobriu que a botnet recebe sua configuração de mineração do servidor de comando e controle (C2) em vez de ter endereços de pool estáticos codificados, e usa vários pools e carteiras para redundância.
O endereço IP do C2 até hospeda dois proxies de mineração para obfuscar ainda mais o rastro.
Se o C2 ficar offline, o RapperBot é configurado para usar um pool de mineração público.
Para maximizar o desempenho de mineração, o malware enumera os processos em execução no sistema comprometido e termina aqueles correspondentes a mineradores concorrentes.
Na versão mais recente do RapperBot analisada, o protocolo de rede binário para comunicação C2 foi reformulado para usar uma abordagem de codificação de duas camadas para evadir a detecção de monitores de tráfego de rede.
Além disso, o tamanho e os intervalos de solicitações enviadas ao servidor C2 são randomizados para tornar a troca mais discreta, assim tornando padrões facilmente reconhecíveis.
Embora os pesquisadores não tenham observado quaisquer comandos DDoS enviados do servidor C2 para as amostras analisadas, eles descobriram que a versão mais recente do bot suporta os seguintes comandos:
O RapperBot parece estar evoluindo rapidamente e expandindo a lista de recursos para maximizar os lucros do operador.
Para proteger dispositivos do RapperBot e de malwares semelhantes, os usuários são aconselhados a manter o software atualizado, desativar serviços desnecessários, alterar senhas padrão para algo forte e usar firewalls para bloquear solicitações não autorizadas.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...