RapperBot Malware pożycza od Mirai

RapperBot to nazwa złośliwego oprogramowania wykrytego przez badaczy z FortiGuard Labs.

Nowe złośliwe oprogramowanie bota jest oparte na kodzie z niesławnego botnetu Mirai i zostało opisane jako „szybko ewoluujące”. Główną różnicą, która odróżnia RapperBot od Mirai, jest jego zdolność do łamania poświadczeń przy użyciu metody brute-force i uzyskiwania dostępu do serwerów SSH, podczas gdy Mirai skanował otwarte porty Telnet.

Kolejną dużą różnicą są nowo dodane funkcje RapperBot, które pozwalają mu osiągnąć trwałość na zaatakowanych urządzeniach, umożliwiając w ten sposób dostęp nawet po ponownym uruchomieniu urządzeń, nawet po usunięciu rdzenia złośliwego oprogramowania.

RapperBot, podobnie jak Mirai, skanuje ogromną liczbę urządzeń znajdujących się w Internecie, szukając serwerów SSH, które akceptują hasła. Szkodnik pobiera swoją listę brute force ze swoich serwerów dowodzenia i kontroli, umożliwiając operatorom botnetów rozszerzanie tej listy z czasem bez konieczności przesyłania aktualizacji kodu do ładunku złośliwego oprogramowania.

Trwałość uzyskuje się poprzez dodanie klucza SSH do ~/.ssh/authorized_keys, który umożliwia dostęp do tych urządzeń po twardym ponownym uruchomieniu urządzenia lub nawet po usunięciu złośliwego oprogramowania.

Badacze zwrócili uwagę na ciekawą obsesję RapperBota związaną z utrzymywaniem przyczółka na zainfekowanych urządzeniach. W rzeczywistości RapperBot wybiera ten rodzaj uporczywej trwałości zamiast samorozprzestrzeniania się, ponieważ zdolność do samorozprzestrzeniania się szkodliwego oprogramowania została usunięta w czerwcowej aktualizacji.