Malware RapperBot empresta de Mirai

RapperBot é o nome de um malware descoberto por pesquisadores do FortiGuard Labs.

O novo malware de bot é baseado no código da infame botnet Mirai e foi descrito como "evoluindo rapidamente". A principal diferença que diferencia o RapperBot do Mirai é sua capacidade de quebrar credenciais usando um método de força bruta e acessar servidores SSH, enquanto o Mirai procurava portas Telnet abertas.

Outra grande diferença são os recursos recém-adicionados do RapperBot que permitem obter persistência nos dispositivos comprometidos, permitindo acesso mesmo após a reinicialização dos dispositivos, mesmo após a remoção do núcleo do malware.

O RapperBot, assim como o Mirai, escaneia um grande número de dispositivos expostos à Internet, procurando servidores SSH que aceitem senhas. O malware extrai sua lista de força bruta de seus servidores de comando e controle, permitindo que os operadores de botnet expandam essa lista ao longo do tempo sem precisar enviar atualizações de código para a carga útil do malware.

A persistência é alcançada adicionando uma chave SSH a ~/.ssh/authorized_keys, que permite o acesso a esses dispositivos após uma reinicialização forçada do dispositivo ou mesmo após a remoção do malware.

Os pesquisadores apontaram a curiosa obsessão do RapperBot por manter um ponto de apoio em dispositivos que foram infectados. Na verdade, o RapperBot escolhe esse tipo de persistência teimosa em vez de autopropagação, já que a capacidade de autopropagação do malware foi removida em uma atualização de junho.