Die neue Mirai-Variante verwendet ungewöhnliche Taktiken zur Verbreitung von Malware

Eine neue Version einer Mirai-Variante namens RapperBot ist das jüngste Beispiel für Malware, die relativ ungewöhnliche oder zuvor unbekannte Infektionsvektoren verwendet, um zu versuchen, sich weit zu verbreiten.

RapperBot tauchte erstmals letztes Jahr als Malware für das Internet der Dinge (IoT) auf, die große Teile des Mirai-Quellcodes enthielt, aber im Vergleich zu anderen Mirai-Varianten einige wesentlich andere Funktionen aufwies. Zu den Unterschieden gehörte die Verwendung eines neuen Protokolls für die Command-and-Control-Kommunikation (C2) und eine integrierte Funktion zum Brute-Forcing von SSH-Servern anstelle von Telnet-Diensten, wie es bei Mirai-Varianten üblich ist.

Sich ständig weiterentwickelnde Bedrohung

Forscher von Fortinet, die die Malware im vergangenen Jahr verfolgten, beobachteten, dass ihre Autoren die Malware regelmäßig veränderten, zuerst durch Hinzufügen von Code zur Aufrechterhaltung der Persistenz auf infizierten Rechnern auch nach einem Neustart, und dann mit Code zur Selbstverbreitung über einen Remote-Binär-Downloader. Später entfernten die Malware-Autoren die Selbstausbreitungsfunktion und fügten eine hinzu, die ihnen dauerhaften Fernzugriff auf Brute-Force-SSH-Server ermöglichte.

Im vierten Quartal 2022 haben die Forscher von Kaspersky entdeckte eine neue RapperBot-Variante in freier Wildbahn kursieren, wo die SSH-Brute-Force-Funktionalität entfernt und durch Fähigkeiten zum Targeting von Telnet-Servern ersetzt wurde.

Die Analyse der Malware durch Kaspersky zeigte, dass sie auch das integrierte, was der Sicherheitsanbieter als „intelligente“ und etwas ungewöhnliche Funktion für das Brute-Forcing von Telnet bezeichnete. Anstatt Brute-Force mit einer riesigen Menge an Zugangsdaten durchzuführen, überprüft die Malware die Eingabeaufforderungen, die sie erhält, wenn sie sich per Telnet mit einem Gerät verbindet – und wählt auf dieser Grundlage die geeigneten Zugangsdaten für einen Brute-Force-Angriff aus. Das beschleunigt den Brute-Forcing-Prozess im Vergleich zu vielen anderen Malware-Tools erheblich, so Kaspersky.

„Wenn Sie sich mit einem Gerät per Telnet verbinden, erhalten Sie normalerweise eine Eingabeaufforderung“, sagt Jornt van der Wiel, Senior Security Researcher bei Kaspersky. Die Eingabeaufforderung kann einige Informationen enthüllen, die RapperBot verwendet, um das Zielgerät und die zu verwendenden Anmeldeinformationen zu bestimmen, sagt er.

Je nach anvisiertem IoT-Gerät verwendet RapperBot unterschiedliche Zugangsdaten, sagt er. „Für Gerät A verwendet es also den Benutzer-/Passwortsatz A; und für Gerät B verwendet es den Benutzer-/Passwortsatz B“, sagt van der Wiel.

Die Malware verwendet dann eine Vielzahl möglicher Befehle wie „wget“, „curl“ und „ftpget“, um sich auf das Zielsystem herunterzuladen. Wenn diese Methoden nicht funktionieren, verwendet die Malware laut Kaspersky einen Downloader und installiert sich selbst auf dem Gerät.

Der Brute-Force-Prozess von RapperBot ist relativ ungewöhnlich, und van der Weil sagt, er könne keine anderen Malware-Samples nennen, die diesen Ansatz verwenden.

Angesichts der schieren Anzahl von Malware-Beispielen in freier Wildbahn ist es jedoch unmöglich zu sagen, ob es sich um die einzige Malware handelt, die derzeit diesen Ansatz verwendet. Es ist wahrscheinlich nicht der erste bösartige Code, der diese Technik verwendet, sagt er.

Neue, seltene Taktiken

Kaspersky verwies auf RapperBot als ein Beispiel für Malware, die seltene und manchmal zuvor ungesehene Techniken zur Verbreitung einsetzt.

Ein weiteres Beispiel ist „Rhadamanthys“, ein Informationsdieb, der unter einer Malware-as-a-Service-Option in einem russischsprachigen Forum für Cyberkriminelle verfügbar ist. Der Info-Stealer gehört zu einer wachsenden Zahl von Malware-Familien, die Bedrohungsakteure begonnen haben, über böswillige Werbung zu verbreiten.

Die Taktik besteht darin, dass Angreifer mit Malware beladene Anzeigen oder Anzeigen mit Links zu Phishing-Sites auf Online-Werbeplattformen platzieren. Häufig sind die Anzeigen für legitime Softwareprodukte und -anwendungen bestimmt und enthalten Schlüsselwörter, die sicherstellen, dass sie in Suchmaschinenergebnissen oder beim Surfen auf bestimmten Websites weit oben erscheinen. In den letzten Monaten haben Bedrohungsakteure solche sogenannten Malvertisements dazu genutzt Zielbenutzer von weit verbreiteten Passwort-Managern wie LastPass, Bitwarden und 1Password.

Der wachsende Erfolg, den Bedrohungsakteure mit Malvertising-Betrug hatten, führt zu einer zunehmenden Nutzung dieser Technik. Die Autoren von Rhadamanthys beispielsweise nutzten zunächst Phishing- und Spam-E-Mails, bevor sie auf böswillige Werbung als anfänglichen Infektionsvektor umstiegen.

„Rhadamanthys unterscheidet sich nicht von anderen Kampagnen, die Malvertising verwenden“, sagt van der Weil. „Es ist jedoch Teil eines Trends, dass Malvertising immer beliebter wird.“

Ein weiterer Trend, den Kaspersky entdeckt hat: die zunehmende Nutzung von Open-Source-Malware durch weniger erfahrene Cyberkriminelle.

Nehmen Sie CueMiner, einen Downloader für Coin-Mining-Malware, der auf GitHub verfügbar ist. Die Forscher von Kaspersky haben beobachtet, wie Angreifer die Malware mit trojanisierten Versionen von geknackten Apps verbreiteten, die über BitTorrent oder von OneDrive-Sharing-Netzwerken heruntergeladen wurden.

„Aufgrund seiner Open-Source-Natur kann es jeder herunterladen und kompilieren“, erklärt van der Weil. „Da diese Benutzer in der Regel keine sehr fortgeschrittenen Cyberkriminellen sind, müssen sie sich auf relativ einfache Infektionsmechanismen wie BitTorrent und OneDrive verlassen.“

• SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
• Platoblockkette. Web3-Metaverse-Intelligenz. Wissen verstärkt. Hier zugreifen.
• Quelle: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware