RapperBot Malware lånar från Mirai

RapperBot är namnet på en del skadlig programvara som upptäckts av forskare med FortiGuard Labs.

Den nya skadliga boten är baserad på kod från det ökända botnätet Mirai och har beskrivits som "snabbt utvecklande". Den främsta skillnaden som skiljer RapperBot från Mirai är dess förmåga att knäcka referenser med en brute-force-metod och komma åt SSH-servrar, medan Mirai sökte efter öppna Telnet-portar.

En annan stor skillnad är RapperBots nyligen tillagda funktioner som gör det möjligt för den att uppnå uthållighet på de komprometterade enheterna, vilket möjliggör åtkomst även efter att enheterna har startat om, även efter att kärnan av skadlig programvara har tagits bort.

RapperBot, precis som Mirai, skannar ett stort antal Internet-exponerade enheter och letar efter SSH-servrar som accepterar lösenord. Skadlig programvara hämtar sin brute force-lista från sina kommando- och kontrollservrar, vilket gör att botnätoperatörerna kan utöka listan över tid utan att behöva pusha koduppdateringar till skadlig nyttolast.

Persistens uppnås genom att lägga till en SSH-nyckel till ~/.ssh/authorized_keys, vilket ger åtkomst till dessa enheter efter en hård omstart av enheten eller till och med efter att skadlig programvara har tagits bort.

Forskare påpekade RapperBots märkliga besatthet för att behålla fotfästet på enheter som har blivit infekterade. Faktum är att RapperBot väljer denna typ av envis uthållighet framför självspridning, eftersom skadlig programvaras förmåga att sprida sig själv togs bort i en juniuppdatering.