Malware RapperBot empresta de Mirai
RapperBot é o nome de um malware descoberto por pesquisadores do FortiGuard Labs.
O novo malware de bot é baseado no código da infame botnet Mirai e foi descrito como "evoluindo rapidamente". A principal diferença que diferencia o RapperBot do Mirai é sua capacidade de quebrar credenciais usando um método de força bruta e acessar servidores SSH, enquanto o Mirai procurava portas Telnet abertas.
Outra grande diferença são os recursos recém-adicionados do RapperBot que permitem obter persistência nos dispositivos comprometidos, permitindo acesso mesmo após a reinicialização dos dispositivos, mesmo após a remoção do núcleo do malware.
O RapperBot, assim como o Mirai, escaneia um grande número de dispositivos expostos à Internet, procurando servidores SSH que aceitem senhas. O malware extrai sua lista de força bruta de seus servidores de comando e controle, permitindo que os operadores de botnet expandam essa lista ao longo do tempo sem precisar enviar atualizações de código para a carga útil do malware.
A persistência é alcançada adicionando uma chave SSH a ~/.ssh/authorized_keys, que permite o acesso a esses dispositivos após uma reinicialização forçada do dispositivo ou mesmo após a remoção do malware.
Os pesquisadores apontaram a curiosa obsessão do RapperBot por manter um ponto de apoio em dispositivos que foram infectados. Na verdade, o RapperBot escolhe esse tipo de persistência teimosa em vez de autopropagação, já que a capacidade de autopropagação do malware foi removida em uma atualização de junho.
