Malware RapperBot DDoS adiciona cryptojacking como novo fluxo de receita

Novas amostras do malware botnet RapperBot adicionaram recursos de cryptojacking para minerar criptomoedas em máquinas Intel x64 comprometidas.

A mudança ocorreu gradualmente, com os desenvolvedores primeiro adicionando o componente de criptomineração separadamente do malware botnet. No final de janeiro, as funcionalidades de botnet e criptomineração foram combinadas em uma única unidade.

Pesquisadores do FortiGuard Labs da Fortinet acompanham a atividade do RapperBot desde junho de 2022 e relataram que o botnet baseado em Mirai se concentrou em servidores Linux SSH de força bruta para recrutá-los para lançar ataques distribuídos de negação de serviço (DDoS).

Em novembro, os pesquisadores encontraram uma versão atualizada do RapperBot que usava um mecanismo de autopropagação Telnet e incluía comandos DoS que eram mais adequados para ataques a servidores de jogos.

O FortiGuard Labs informou esta semana sobre uma variante atualizada do RapperBot que usa o minerador XMRig Monero em arquiteturas Intel x64.

A empresa de segurança cibernética diz que esta campanha está ativa desde janeiro e visa principalmente dispositivos IoT.

O código do minerador agora está integrado ao RapperBot, ofuscado com codificação XOR de camada dupla, que efetivamente oculta os pools de mineração e os endereços de mineração do Monero dos analistas.

O FortiGuard Labs descobriu que o bot recebe sua configuração de mineração do servidor de comando e controle (C2) em vez de ter endereços de pool estáticos codificados e usa vários pools e carteiras para redundância.

O endereço IP C2 ainda hospeda dois proxies de mineração para ofuscar ainda mais o rastreamento. Se o C2 ficar offline, o RapperBot está configurado para usar um pool de mineração público.

Para maximizar o desempenho da mineração, o malware enumera os processos em execução no sistema violado e encerra os correspondentes aos mineradores concorrentes.

Na última versão analisada do RapperBot, o protocolo de rede binário para comunicação C2 foi reformulado para usar uma abordagem de codificação de duas camadas para evitar a detecção de monitores de tráfego de rede.

Além disso, o tamanho e os intervalos das solicitações enviadas ao servidor C2 são randomizados para tornar a troca mais discreta, tornando os padrões facilmente reconhecíveis.

Embora os pesquisadores não tenham observado nenhum comando DDoS enviado do servidor C2 para as amostras analisadas, eles descobriram que a versão mais recente do bot suporta os seguintes comandos:

O RapperBot parece estar evoluindo rapidamente e expande a lista de recursos para maximizar os lucros do operador.

Para proteger os dispositivos do RapperBot e malware semelhante, os usuários são aconselhados a manter o software atualizado, desabilitar serviços desnecessários, alterar as senhas padrão para algo forte e usar firewalls para bloquear solicitações não autorizadas.

Nova campanha do Horabot assume contas do Gmail e do Outlook da vítima

Falha crítica Ruckus RCE explorada por novo malware DDoS botnet

FBI ataca malware de roubo de dados russo Snake com comando de autodestruição

Novo malware de roubo de informações do Atomic macOS atinge 50 carteiras criptográficas

Falha no roteador TP-Link Archer WiFi explorada pelo malware Mirai