El malware RapperBot toma prestado de Mirai
RapperBot es el nombre de una pieza de malware descubierta por investigadores de FortiGuard Labs.
El nuevo malware bot se basa en el código de la infame red de bots Mirai y se ha descrito como "en rápida evolución". La principal diferencia que diferencia a RapperBot de Mirai es su capacidad para descifrar credenciales mediante un método de fuerza bruta y acceder a servidores SSH, mientras que Mirai buscaba puertos Telnet abiertos.
Otra gran diferencia son las funciones recientemente agregadas de RapperBot que le permiten lograr la persistencia en los dispositivos comprometidos, lo que permite el acceso incluso después de reiniciar los dispositivos, incluso después de que se haya eliminado el núcleo del malware.
RapperBot, al igual que Mirai, escanea una gran cantidad de dispositivos expuestos a Internet en busca de servidores SSH que acepten contraseñas. El malware extrae su lista de fuerza bruta de sus servidores de comando y control, lo que permite a los operadores de botnet expandir esa lista con el tiempo sin necesidad de enviar actualizaciones de código a la carga útil del malware.
La persistencia se logra agregando una clave SSH a ~/.ssh/authorized_keys, que permite el acceso a esos dispositivos después de un reinicio completo del dispositivo o incluso después de eliminar el malware.
Los investigadores señalaron la curiosa obsesión de RapperBot por mantener un punto de apoyo en los dispositivos que han sido infectados. De hecho, RapperBot elige este tipo de persistencia obstinada sobre la autopropagación, ya que la capacidad de autopropagación del malware se eliminó en una actualización de junio.
