Az új Mirai-változat szokatlan taktikákat alkalmaz a rosszindulatú programok terjesztésére

A Mirai egyik változatának új verziója, a RapperBot a legújabb példa arra, hogy a rosszindulatú programok viszonylag szokatlan vagy korábban ismeretlen fertőzési vektorokat használnak a széles körben terjedésre.

A RapperBot először tavaly jelent meg Internet of Things (IoT) kártevőként, amely nagy mennyiségű Mirai-forráskódot tartalmaz, de néhány lényegesen eltérő funkcionalitással rendelkezik, mint a többi Mirai-változat. A különbségek között szerepelt egy új protokoll használata a parancs- és vezérlés (C2) kommunikációhoz, valamint egy beépített szolgáltatás a brute-forcing SSH-kiszolgálókhoz, nem pedig a Telnet szolgáltatásokhoz, amint az a Mirai változatokban megszokott.

Folyamatosan fejlődő fenyegetés

A Fortinet kutatói, akik tavaly nyomon követték a kártevőt, megfigyelték, hogy a szerzők rendszeresen módosították a kártevőt, először is kód hozzáadása a tartósság megőrzéséhez a fertőzött gépeken még újraindítás után is, majd egy távoli bináris letöltőn keresztül történő önszaporításhoz szükséges kóddal. Később a kártevők eltávolították az önterjedési funkciót, és hozzáadtak egy olyant, amely lehetővé tette számukra a tartós távoli hozzáférést a brutálisan kényszerített SSH-kiszolgálókhoz.

2022 negyedik negyedévében a Kaspersky kutatói felfedezett egy új RapperBot változatot a vadonban kering, ahol az SSH brute-force funkcióját eltávolították, és a telnet szerverek megcélzására alkalmas képességekkel helyettesítették.

A Kaspersky elemzése a rosszindulatú programról azt is kimutatta, hogy a biztonsági gyártó által leírt „intelligens” és kissé szokatlan funkciót is integrálta a brute-forcing telnethez. Ahelyett, hogy hatalmas hitelesítő adatokkal erőszakolna, a rosszindulatú program ellenőrzi a kapott utasításokat, amikor egy eszközre telnetez – és ez alapján kiválasztja a megfelelő hitelesítő adatok készletét a brute-force támadáshoz. Ez jelentősen felgyorsítja a brutális kényszerítés folyamatát sok más rosszindulatú szoftverhez képest, mondta Kaspersky.

„Amikor telnetet tesz egy eszközre, általában felszólítást kap” – mondja Jornt van der Wiel, a Kaspersky vezető biztonsági kutatója. A felszólítás felfedhet bizonyos információkat, amelyeket a RapperBot felhasznál a megcélzott eszköz és a használandó hitelesítő adatok meghatározására.

A megcélzott IoT-eszköztől függően a RapperBot különböző hitelesítő adatokat használ, mondja. „Tehát az A eszközhöz az A felhasználó/jelszókészletet használja; a B eszközhöz pedig a B felhasználói/jelszókészletet használja” – mondja van der Wiel.

A rosszindulatú program ezután számos lehetséges parancsot használ, mint például a „wget”, „curl” és „ftpget”, hogy letöltse magát a célrendszerre. Ha ezek a módszerek nem működnek, a rosszindulatú program letöltőt használ, és a Kaspersky szerint telepíti magát az eszközre.

A RapperBot brute force eljárása viszonylag ritka, és van der Weil azt mondja, hogy nem tud más olyan rosszindulatú programmintákat megnevezni, amelyek ezt a megközelítést használják.

Ennek ellenére, tekintettel a vadon élő rosszindulatú programokra, lehetetlen megmondani, hogy ez az egyetlen rosszindulatú program, amely jelenleg alkalmazza ezt a megközelítést. Valószínűleg nem ez az első rosszindulatú kód, amely ezt a technikát használja, mondja.

Új, ritka taktika

A Kaspersky a RapperBot-ra mutatott rá, mint a rosszindulatú programok egyik példájára, amelyek ritka és néha korábban nem látott technikákat alkalmaznak a terjedéshez.

Egy másik példa a „Rhadamanthys”, egy információlopó, amely a malware-as-a-service opció alatt érhető el egy orosz nyelvű kiberbűnözői fórumon. Az információlopó egyike a növekvő számú rosszindulatú programcsaládnak, amelyet a fenyegetés szereplői rosszindulatú hirdetéseken keresztül terjesztenek.

A taktika azt jelenti, hogy az ellenfelek rosszindulatú programokkal teli hirdetéseket vagy adathalász webhelyekre mutató linkeket tartalmazó hirdetéseket helyeznek el az online hirdetési platformokon. A hirdetések gyakran legitim szoftvertermékekre és -alkalmazásokra vonatkoznak, és olyan kulcsszavakat tartalmaznak, amelyek biztosítják, hogy előkelő helyen szerepeljenek a keresőmotorok eredményei között, vagy amikor a felhasználók bizonyos webhelyeket böngésznek. Az elmúlt hónapokban a fenyegetés szereplői ilyen, úgynevezett malvertisement-eket alkalmaztak a széles körben használt jelszókezelők felhasználóit célozza meg mint például a LastPass, a Bitwarden és az 1Password.

A fenyegetés szereplőinek a rosszindulatú csalásokkal kapcsolatos növekvő sikere a technika használatának növekedését ösztönzi. A Rhadamanthys szerzői például kezdetben adathalász és spam e-maileket használtak, mielőtt rosszindulatú hirdetésekre váltottak volna kezdeti fertőző vektorként.

„A Rhadamanthys semmiben sem különbözik a rosszindulatú hirdetéseket használó kampányoktól” – mondja van der Weil. „Ez azonban része annak a tendenciának, hogy úgy látjuk, a rosszindulatú reklámozás egyre népszerűbb.”

Egy másik trend, amelyet a Kaspersky észlelt: a nyílt forráskódú rosszindulatú programok növekvő használata a kevésbé képzett kiberbűnözők körében.

Vegyük a CueMinert, a GitHubon elérhető érmebányász rosszindulatú programok letöltőjét. A Kaspersky kutatói megfigyelték, hogy a támadók a BitTorrenten vagy a OneDrive megosztási hálózatán keresztül letöltött feltört alkalmazások trójai verzióival terjesztik a kártevőt.

„Nyílt forráskódú jellege miatt mindenki letöltheti és lefordíthatja” – magyarázza van der Weil. "Mivel ezek a felhasználók általában nem túl fejlett kiberbűnözők, viszonylag egyszerű fertőzési mechanizmusokra kell hagyatkozniuk, mint például a BitTorrent és a OneDrive."

• SEO által támogatott tartalom és PR terjesztés. Erősödjön még ma.
• Platoblockchain. Web3 metaverzum intelligencia. Felerősített tudás. Hozzáférés itt.
• Forrás: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware