Una nuova versione di una variante Mirai chiamata RapperBot è l'ultimo esempio di malware che utilizza vettori di infezione relativamente poco comuni o precedentemente sconosciuti per cercare di diffondersi ampiamente.
RapperBot è emerso per la prima volta lo scorso anno come malware Internet of Things (IoT) contenente grandi porzioni di codice sorgente Mirai ma con alcune funzionalità sostanzialmente diverse rispetto ad altre varianti Mirai. Le differenze includevano l'uso di un nuovo protocollo per le comunicazioni di comando e controllo (C2) e una funzionalità integrata per i server SSH di forzatura bruta piuttosto che i servizi Telnet, come è comune nelle varianti Mirai.
Minaccia in continua evoluzione
I ricercatori di Fortinet che hanno monitorato il malware lo scorso anno hanno osservato che i suoi autori alteravano regolarmente il malware, prima di tutto aggiunta di codice per mantenere la persistenza su macchine infette anche dopo un riavvio e quindi con codice per l'autopropagazione tramite un downloader binario remoto. Successivamente, gli autori del malware hanno rimosso la funzione di autopropagazione e ne hanno aggiunta una che consentiva loro l'accesso remoto persistente ai server SSH forzati.
Nel quarto trimestre del 2022, i ricercatori di Kaspersky scoperto una nuova variante di RapperBot circolante in natura, dove la funzionalità di forza bruta SSH era stata rimossa e sostituita con capacità per prendere di mira i server telnet.
L'analisi di Kaspersky del malware ha mostrato che integrava anche quella che il fornitore di sicurezza descriveva come una funzionalità "intelligente" e in qualche modo insolita per il brute-forcing di telnet. Anziché eseguire la forza bruta con un enorme set di credenziali, il malware controlla i prompt ricevuti quando si connette a un dispositivo tramite telnet e, in base a ciò, seleziona il set di credenziali appropriato per un attacco di forza bruta. Ciò accelera notevolmente il processo di forzatura bruta rispetto a molti altri strumenti malware, ha affermato Kaspersky.
"Quando si utilizza telnet su un dispositivo, in genere si riceve un messaggio", afferma Jornt van der Wiel, ricercatore senior di sicurezza presso Kaspersky. Il prompt può rivelare alcune informazioni che RapperBot utilizza per determinare il dispositivo a cui si rivolge e quali credenziali utilizzare, afferma.
A seconda del dispositivo IoT preso di mira, RapperBot utilizza credenziali diverse, afferma. “Quindi, per il dispositivo A, utilizza il set utente/password A; e per il dispositivo B, utilizza il set utente/password B", afferma van der Wiel.
Il malware utilizza quindi una varietà di possibili comandi, come "wget", "curl" e "ftpget" per scaricarsi sul sistema di destinazione. Se questi metodi non funzionano, il malware utilizza un downloader e si installa sul dispositivo, secondo Kaspersky.
Il processo di forza bruta di RapperBot è relativamente raro e van der Weil afferma di non poter nominare altri campioni di malware che utilizzano l'approccio.
Anche così, dato l'enorme numero di campioni di malware in circolazione, è impossibile dire se sia l'unico malware che attualmente utilizza questo approccio. Probabilmente non è il primo pezzo di codice dannoso a utilizzare la tecnica, afferma.
Tattiche nuove e rare
Kaspersky ha indicato RapperBot come un esempio di malware che utilizza tecniche rare e talvolta mai viste prima per diffondersi.
Un altro esempio è "Rhadamanthys", un ladro di informazioni disponibile con l'opzione malware-as-a-service su un forum di criminali informatici in lingua russa. Il ladro di informazioni fa parte di un numero crescente di famiglie di malware che gli attori delle minacce hanno iniziato a distribuire tramite pubblicità dannose.
La tattica prevede che gli avversari inseriscano pubblicità o annunci carichi di malware con collegamenti a siti di phishing su piattaforme pubblicitarie online. Spesso gli annunci riguardano prodotti e applicazioni software legittimi e contengono parole chiave che assicurano che vengano visualizzati in alto nei risultati dei motori di ricerca o quando gli utenti navigano in determinati siti web. Negli ultimi mesi, gli attori delle minacce hanno utilizzato tali cosiddetti malvertisements per indirizzare gli utenti di gestori di password ampiamente utilizzati come LastPass, Bitwarden e 1Password.
Il crescente successo che gli attori delle minacce hanno avuto con le truffe di malvertising sta stimolando un aumento dell'uso della tecnica. Gli autori di Rhadamanthys, ad esempio, inizialmente hanno utilizzato e-mail di phishing e spam prima di passare a pubblicità dannose come vettore iniziale dell'infezione.
"Rhadamanthys non fa nulla di diverso dalle altre campagne che utilizzano il malvertising", afferma van der Weil. "Tuttavia, fa parte di una tendenza che vediamo il malvertising sta diventando sempre più popolare".
Un'altra tendenza che Kaspersky ha individuato: il crescente utilizzo di malware open source tra i criminali informatici meno qualificati.
Prendi CueMiner, un downloader per malware di mining di monete disponibile su GitHub. I ricercatori di Kaspersky hanno osservato gli aggressori che distribuiscono il malware utilizzando versioni trojanizzate di app crackate scaricate tramite BitTorrent o da reti di condivisione OneDrive.
"Grazie alla sua natura open source, tutti possono scaricarlo e compilarlo", spiega van der Weil. "Poiché questi utenti in genere non sono criminali informatici molto avanzati, devono fare affidamento su meccanismi di infezione relativamente semplici, come BitTorrent e OneDrive."
- Distribuzione di contenuti basati su SEO e PR. Ricevi amplificazione oggi.
- Platoblockchain. Web3 Metaverse Intelligence. Conoscenza amplificata. Accedi qui.
- Fonte: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :È
- $ SU
- 2022
- 7
- a
- accesso
- Secondo
- attori
- Ad
- aggiunto
- Ads - Annunci
- Avanzate
- Dopo shavasana, sedersi in silenzio; saluti;
- tra
- .
- ed
- applicazioni
- approccio
- opportuno
- applicazioni
- SONO
- AS
- At
- attacco
- gli autori
- disponibile
- basato
- diventando
- prima
- BitTorrent
- incassato
- by
- detto
- Responsabile Campagne
- Materiale
- funzionalità
- certo
- Controlli
- circolante
- codice
- Uncommon
- Comunicazioni
- rispetto
- contenere
- screpolato
- Credenziali
- Attualmente
- CIBERCRIMINALE
- i criminali informatici
- descritta
- Determinare
- dispositivo
- differenze
- diverso
- distribuire
- distribuzione
- non
- scaricare
- impiega
- motore
- garantire
- Anche
- evoluzione
- esempio
- Spiega
- famiglie
- caratteristica
- Nome
- Nel
- Fortinet
- Forum
- Quarto
- da
- funzionalità
- ottenere
- GitHub
- dato
- Crescita
- Avere
- Alta
- Tuttavia
- HTTPS
- Enorme
- impossibile
- in
- incluso
- Aumento
- info
- informazioni
- inizialmente
- inizialmente
- esempio
- integrato
- Intelligente
- Internet
- Internet delle cose
- IoT
- Dispositivo IoT
- IT
- SUO
- stessa
- jpg
- Kaspersky
- Lingua
- grandi
- Cognome
- L'anno scorso
- LastPass
- con i più recenti
- probabile
- Collegamento
- macchine
- mantenere
- il malware
- molti
- metodi
- mese
- Scopri di più
- Nome
- Natura
- reti
- New
- numero
- of
- on
- ONE
- online
- aprire
- open source
- Opzione
- Altro
- parte
- Password
- phishing
- Siti di phishing
- pezzo
- Piantare
- Piattaforme
- Platone
- Platone Data Intelligence
- PlatoneDati
- Popolare
- possibile
- in precedenza
- processi
- Prodotti
- protocollo
- Trimestre
- RARO
- piuttosto
- ricevuto
- recente
- regolarmente
- relativamente
- a distanza
- accesso remoto
- rimosso
- sostituito
- ricercatore
- ricercatori
- Risultati
- rivelare
- russo
- s
- Suddetto
- dice
- truffe
- Cerca
- motore di ricerca
- problemi di
- anziano
- Server
- Servizi
- set
- compartecipazione
- significativamente
- Un'espansione
- Siti
- So
- Software
- alcuni
- piuttosto
- Fonte
- codice sorgente
- carne in scatola
- velocità
- diffondere
- il successo
- tale
- superficie
- sistema
- tattica
- Target
- mirata
- mira
- tecniche
- che
- Il
- Li
- Strumenti Bowman per analizzare le seguenti finiture:
- cose
- minaccia
- attori della minaccia
- a
- strumenti
- Tracking
- Trend
- tipicamente
- Raro
- per
- uso
- utenti
- Variante
- varietà
- venditore
- versione
- via
- siti web
- Che
- quale
- ampiamente
- Selvaggio
- con
- Lavora
- anno
- Tu
- zefiro
