Il malware RapperBot prende in prestito da Mirai

RapperBot è il nome di un malware scoperto dai ricercatori con FortiGuard Labs.

Il nuovo bot malware si basa sul codice della famigerata botnet Mirai ed è stato descritto come "in rapida evoluzione". La principale differenza che distingue RapperBot da Mirai è la sua capacità di decifrare le credenziali utilizzando un metodo di forza bruta e accedere ai server SSH, mentre Mirai scansionava le porte Telnet aperte.

Un'altra grande differenza sono le funzionalità aggiunte di recente a RapperBot che gli consentono di ottenere la persistenza sui dispositivi compromessi, consentendo così l'accesso anche dopo il riavvio dei dispositivi, anche dopo che il nucleo del malware è stato rimosso.

RapperBot, proprio come Mirai, scansiona un numero enorme di dispositivi esposti a Internet, alla ricerca di server SSH che accettino password. Il malware estrae il suo elenco di forza bruta dai suoi server di comando e controllo, consentendo agli operatori di botnet di espandere tale elenco nel tempo senza dover inviare aggiornamenti del codice al payload del malware.

La persistenza si ottiene aggiungendo una chiave SSH a ~/.ssh/authorized_keys, che consente l'accesso a tali dispositivi dopo un riavvio forzato del dispositivo o anche dopo la rimozione del malware.

I ricercatori hanno sottolineato la curiosa ossessione di RapperBot per mantenere un punto d'appoggio sui dispositivi che sono stati infettati. In effetti, RapperBot sceglie questo tipo di persistenza ostinata rispetto all'auto-propagazione, poiché la capacità di auto-propagazione del malware è stata rimossa in un aggiornamento di giugno.