Versi baru dari varian Mirai yang disebut RapperBot adalah contoh malware terbaru yang menggunakan vektor infeksi yang relatif tidak umum atau tidak dikenal sebelumnya untuk mencoba dan menyebar luas.
RapperBot pertama kali muncul tahun lalu sebagai malware Internet of Things (IoT) yang berisi potongan besar kode sumber Mirai tetapi dengan beberapa fungsi yang jauh berbeda dibandingkan dengan varian Mirai lainnya. Perbedaannya termasuk penggunaan protokol baru untuk komunikasi perintah-dan-kontrol (C2) dan fitur bawaan untuk server SSH brute-forcing daripada layanan Telnet, seperti yang umum terjadi pada varian Mirai.
Ancaman yang Terus Berkembang
Peneliti dari Fortinet yang melacak malware tahun lalu mengamati pembuatnya secara teratur mengubah malware, pertama dengan menambahkan kode untuk mempertahankan persistensi pada mesin yang terinfeksi bahkan setelah reboot, dan kemudian dengan kode untuk perbanyakan sendiri melalui pengunduh biner jarak jauh. Kemudian, pembuat malware menghapus fitur self-propagation dan menambahkan satu yang memungkinkan mereka akses jarak jauh yang terus-menerus ke server SSH yang dipaksakan secara brutal.
Pada kuartal keempat tahun 2022, para peneliti Kaspersky menemukan varian RapperBot baru beredar di alam liar, di mana fungsionalitas brute-force SSH telah dihapus dan diganti dengan kemampuan untuk menargetkan server telnet.
Analisis Kaspersky terhadap malware menunjukkan malware itu juga mengintegrasikan apa yang digambarkan oleh vendor keamanan sebagai fitur "cerdas" dan agak tidak umum untuk telnet yang memaksa. Daripada melakukan brute-forcing dengan set kredensial yang sangat besar, malware memeriksa prompt yang diterima saat melakukan telnet ke perangkat โ dan berdasarkan itu, memilih set kredensial yang sesuai untuk serangan brute-force. Itu secara signifikan mempercepat proses brute-forcing dibandingkan dengan banyak alat malware lainnya, kata Kaspersky.
โKetika Anda melakukan telnet ke suatu perangkat, Anda biasanya mendapatkan prompt,โ kata Jornt van der Wiel, seorang peneliti keamanan senior di Kaspersky. Prompt dapat mengungkapkan beberapa informasi yang digunakan RapperBot untuk menentukan perangkat yang ditargetkan dan kredensial mana yang akan digunakan, katanya.
Tergantung pada perangkat IoT yang ditargetkan, RapperBot menggunakan kredensial yang berbeda, ujarnya. โJadi, untuk perangkat A, itu menggunakan kumpulan pengguna/kata sandi A; dan untuk perangkat B, ia menggunakan set pengguna/kata sandi B,โ kata van der Wiel.
Malware kemudian menggunakan berbagai kemungkinan perintah, seperti "wget", "curl", dan "ftpget" untuk mengunduh dirinya sendiri di sistem target. Jika metode ini tidak berhasil, malware menggunakan pengunduh dan menginstal sendiri di perangkat, menurut Kaspersky.
Proses brute-force RapperBot relatif jarang, dan van der Weil mengatakan dia tidak dapat menyebutkan sampel malware lain yang menggunakan pendekatan tersebut.
Meski begitu, mengingat banyaknya sampel malware di alam liar, tidak mungkin untuk mengatakan apakah itu satu-satunya malware yang saat ini menggunakan pendekatan ini. Kemungkinan itu bukan bagian pertama dari kode berbahaya yang menggunakan teknik ini, katanya.
Taktik Baru yang Langka
Kaspersky menunjuk RapperBot sebagai salah satu contoh malware yang menggunakan teknik langka dan terkadang tak terlihat sebelumnya untuk menyebar.
Contoh lain adalah โRhadamanthys,โ pencuri informasi yang tersedia di bawah opsi malware-as-a-service di forum penjahat dunia maya berbahasa Rusia. Pencuri info adalah salah satu dari semakin banyak keluarga malware yang mulai disebarkan oleh pelaku ancaman melalui iklan berbahaya.
Taktik ini melibatkan musuh yang menanam iklan atau iklan sarat malware dengan tautan ke situs phishing di platform iklan online. Seringkali iklan adalah untuk produk dan aplikasi perangkat lunak yang sah dan mengandung kata kunci yang memastikan mereka muncul tinggi pada hasil mesin pencari atau ketika pengguna menjelajahi situs web tertentu. Dalam beberapa bulan terakhir, pelaku ancaman telah menggunakan apa yang disebut malvertisements menargetkan pengguna pengelola kata sandi yang banyak digunakan seperti LastPass, Bitwarden, dan 1Password.
Keberhasilan yang berkembang yang dimiliki oleh pelaku ancaman dengan penipuan malvertising memacu peningkatan penggunaan teknik ini. Penulis Rhadamanthys, misalnya, awalnya menggunakan email phishing dan spam sebelum beralih ke iklan jahat sebagai vektor infector awal.
โRhadamanthys tidak berbeda dengan kampanye lain yang menggunakan malvertising,โ kata van der Weil. โNamun, ini bagian dari tren yang kami lihat malvertising menjadi lebih populer.โ
Tren lain yang dilihat Kaspersky: meningkatnya penggunaan malware open source di antara penjahat dunia maya yang kurang terampil.
Ambil CueMiner, pengunduh untuk malware penambangan koin yang tersedia di GitHub. Peneliti Kaspersky telah mengamati penyerang mendistribusikan malware menggunakan versi Trojan dari aplikasi crack yang diunduh melalui BitTorrent atau dari jaringan berbagi OneDrive.
โKarena sifatnya yang open source, semua orang dapat mengunduh dan mengompilasinya,โ jelas van der Weil. โKarena para pengguna ini biasanya bukan penjahat dunia maya yang sangat mahir, mereka harus bergantung pada mekanisme infeksi yang relatif sederhana, seperti BitTorrent dan OneDrive.โ
- Konten Bertenaga SEO & Distribusi PR. Dapatkan Amplifikasi Hari Ini.
- Platoblockchain. Intelijen Metaverse Web3. Pengetahuan Diperkuat. Akses Di Sini.
- Sumber: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :adalah
- $NAIK
- 2022
- 7
- a
- mengakses
- Menurut
- aktor
- Ad
- menambahkan
- iklan
- maju
- Setelah
- antara
- analisis
- dan
- aplikasi
- pendekatan
- sesuai
- aplikasi
- ADALAH
- AS
- At
- menyerang
- penulis
- tersedia
- berdasarkan
- menjadi
- sebelum
- BitTorrent
- built-in
- by
- bernama
- Kampanye
- CAN
- kemampuan
- tertentu
- Cek
- beredar
- kode
- Umum
- komunikasi
- dibandingkan
- mengandung
- retak
- Surat kepercayaan
- Sekarang
- PENJAHAT SIBER
- penjahat cyber
- dijelaskan
- Menentukan
- alat
- perbedaan
- berbeda
- mendistribusikan
- mendistribusikan
- Tidak
- Download
- mempekerjakan
- Mesin
- memastikan
- Bahkan
- berkembang
- contoh
- Menjelaskan
- keluarga
- Fitur
- Pertama
- Untuk
- Fortinet
- forum
- Keempat
- dari
- fungsi
- mendapatkan
- GitHub
- diberikan
- Pertumbuhan
- Memiliki
- High
- Namun
- HTTPS
- besar
- mustahil
- in
- termasuk
- Meningkatkan
- Info
- informasi
- mulanya
- mulanya
- contoh
- terpadu
- Cerdas
- Internet
- internet hal-hal
- idiot
- Perangkat IOT
- IT
- NYA
- Diri
- jpg
- Kaspersky
- bahasa
- besar
- Terakhir
- Tahun lalu
- LastPass
- Terbaru
- Mungkin
- link
- Mesin
- memelihara
- malware
- banyak
- metode
- bulan
- lebih
- nama
- Alam
- jaringan
- New
- jumlah
- of
- on
- ONE
- secara online
- Buka
- open source
- pilihan
- Lainnya
- bagian
- Kata Sandi
- Phishing
- Situs Phishing
- bagian
- Menanam
- Platform
- plato
- Kecerdasan Data Plato
- Data Plato
- Populer
- mungkin
- sebelumnya
- proses
- Produk
- protokol
- Perempat
- LANGKA
- agak
- diterima
- baru
- secara teratur
- relatif
- terpencil
- Remote Access
- Dihapus
- diganti
- peneliti
- peneliti
- Hasil
- mengungkapkan
- Rusia
- s
- Tersebut
- mengatakan
- penipuan
- Pencarian
- mesin pencari
- keamanan
- senior
- Server
- Layanan
- set
- berbagi
- signifikan
- Sederhana
- Situs
- So
- Perangkat lunak
- beberapa
- agak
- sumber
- kode sumber
- Spam
- kecepatan
- penyebaran
- sukses
- seperti itu
- Permukaan
- sistem
- taktik
- target
- ditargetkan
- penargetan
- teknik
- bahwa
- Grafik
- Mereka
- Ini
- hal
- ancaman
- aktor ancaman
- untuk
- alat
- Pelacakan
- kecenderungan
- khas
- Luar biasa
- bawah
- menggunakan
- Pengguna
- Varian
- variasi
- penjaja
- versi
- melalui
- situs web
- Apa
- yang
- sangat
- Liar
- dengan
- Kerja
- tahun
- Kamu
- zephyrnet.dll
