RapperBot Malware låner fra Mirai

RapperBot er navnet på et stykke skadelig programvare oppdaget av forskere med FortiGuard Labs.

Den nye skadevareroboten er basert på kode fra det beryktede Mirai-botnettet og har blitt beskrevet som "raskt i utvikling". Hovedforskjellen som skiller RapperBot fra Mirai er dens evne til å knekke legitimasjon ved å bruke en brute-force-metode og få tilgang til SSH-servere, mens Mirai skannet etter åpne Telnet-porter.

En annen stor forskjell er RapperBots nylig lagt til funksjoner som lar den oppnå utholdenhet på de kompromitterte enhetene, og dermed tillate tilgang selv etter at enhetene er startet på nytt, selv etter at kjernen av skadelig programvare er fjernet.

RapperBot, omtrent som Mirai, skanner et stort antall Internett-eksponerte enheter, på jakt etter SSH-servere som godtar passord. Skadevaren henter sin brute force-liste fra sine kommando- og kontrollservere, slik at botnett-operatørene kan utvide listen over tid uten å måtte presse kodeoppdateringer til skadevarenyttelasten.

Persistens oppnås ved å legge til en SSH-nøkkel til ~/.ssh/authorized_keys, som gir tilgang til disse enhetene etter en hard omstart av enheten eller til og med etter at skadelig programvare er fjernet.

Forskere påpekte RapperBots nysgjerrige besettelse for å opprettholde fotfeste på enheter som har blitt infisert. Faktisk velger RapperBot denne typen hardnakket utholdenhet fremfor selvspredning, ettersom selvforplantningsevnen til skadevare ble fjernet i en juni-oppdatering.