Software malicioso RapperBot

Los investigadores de Infosec han identificado un peligroso malware IoT (Internet de las cosas), rastreado como RapperBot. El análisis de la amenaza ha revelado que sus creadores han utilizado mucho el código fuente de la infame Mirai Botnet . La amenaza Mirai se usó en varios ataques de alto perfil antes de que su código fuente se filtrara al público en octubre de 2016. Desde entonces, los investigadores de ciberseguridad han identificado más de 60 variantes de botnet y malware utilizando Mirai como base. Sin embargo, cuando se trata de RapperBot, la amenaza muestra varias desviaciones importantes del comportamiento típico de Mirai.

Recientemente, los investigadores de seguridad publicaron detalles sobre RapperBot en un informe. Según sus hallazgos, la amenaza ha estado activa desde junio de 2022 y está experimentando un rápido desarrollo. La amenaza de la red de bots utiliza tácticas de fuerza bruta para afianzarse en los servidores SSH de Linux, a diferencia de la implementación más típica de Mirai, que se dirige a los servidores Telnet.

Según el informe, RapperBot está aumentando rápidamente sus servidores SSH esclavizados con más de 3500 direcciones IP únicas que escanean Internet y se abren paso a través de la fuerza bruta hacia nuevas víctimas. RapperBot también parece haber dejado atrás sus técnicas de autopropagación similares a Mira en favor de métodos más basados en la persistencia. Como resultado, la amenaza puede permanecer en el sistema infectado incluso después de un reinicio o un intento de eliminación por parte de las víctimas.

El acceso a los servidores violados se logra mediante la adición de la clave pública SSH de los operadores. La clave se inyecta en un archivo específico llamado '~/.ssh/authorized_keys.' Posteriormente, los actores de la amenaza podrán conectarse libremente al servidor y autenticarse utilizando solo la clave privada correspondiente sin necesidad de proporcionar una contraseña. Esta técnica mantendrá el acceso al servidor incluso si las credenciales de SSH se actualizan o si la autenticación de contraseña de SSH está deshabilitada. Además, al reemplazar el archivo legítimo, los ciberdelincuentes eliminaron todas las claves autorizadas existentes actualmente, evitando que los usuarios legítimos accedan con éxito al servidor SSH comprometido a través de la autenticación de clave pública.

Los objetivos de los operadores de RapperBot Malware siguen siendo confusos. Por ejemplo, los actores de amenazas eliminan las capacidades DDoS (Distributed Denial-of-Service) de la amenaza por completo, solo para reintroducir este último, de forma limitada.