Nieuwe Mirai-variant gebruikt ongebruikelijke tactieken om malware te verspreiden

Een nieuwe versie van een Mirai-variant genaamd RapperBot is het nieuwste voorbeeld van malware die relatief ongebruikelijke of voorheen onbekende infectievectoren gebruikt om te proberen zich wijd te verspreiden.

RapperBot dook vorig jaar voor het eerst op als Internet of Things (IoT)-malware die grote stukken Mirai-broncode bevat, maar met een aanzienlijk andere functionaliteit in vergelijking met andere Mirai-varianten. De verschillen waren onder meer het gebruik van een nieuw protocol voor command-and-control (C2) -communicatie en een ingebouwde functie voor brute-forcing SSH-servers in plaats van Telnet-services, zoals gebruikelijk is in Mirai-varianten.

Voortdurend evoluerende dreiging

Onderzoekers van Fortinet die de malware vorig jaar volgden, zagen dat de auteurs de malware regelmatig aanpasten, eerst door code toevoegen om persistentie te behouden op geïnfecteerde machines, zelfs na opnieuw opstarten, en vervolgens met code voor zelfverspreiding via een externe binaire downloader. Later verwijderden de malware-auteurs de functie voor zelfverspreiding en voegden er een toe waarmee ze permanente externe toegang tot brute-forced SSH-servers konden krijgen.

In het vierde kwartaal van 2022, Kaspersky's onderzoekers ontdekte een nieuwe RapperBot-variant circuleerden in het wild, waar de SSH brute-force-functionaliteit was verwijderd en vervangen door mogelijkheden voor het targeten van telnet-servers.

Kaspersky's analyse van de malware toonde aan dat het ook integreerde wat de beveiligingsleverancier omschreef als een "intelligente" en enigszins ongebruikelijke functie voor brute forcering van telnet. In plaats van brute forcering met een enorme set inloggegevens, controleert de malware de prompts die worden ontvangen wanneer het telnets naar een apparaat stuurt en selecteert op basis daarvan de juiste set inloggegevens voor een brute force-aanval. Dat versnelt het brute force-proces aanzienlijk in vergelijking met veel andere malwaretools, zei Kaspersky.

"Als je naar een apparaat telenett, krijg je meestal een prompt", zegt Jornt van der Wiel, een senior beveiligingsonderzoeker bij Kaspersky. De prompt kan wat informatie onthullen die RapperBot gebruikt om te bepalen op welk apparaat hij zich richt en welke inloggegevens hij moet gebruiken, zegt hij.

Afhankelijk van het IoT-apparaat dat het doelwit is, gebruikt RapperBot verschillende inloggegevens, zegt hij. “Dus voor apparaat A gebruikt het gebruikers-/wachtwoordset A; en voor apparaat B gebruikt het gebruikers-/wachtwoordset B”, zegt van der Wiel.

De malware gebruikt vervolgens verschillende mogelijke commando's, zoals 'wget', 'curl' en 'ftpget' om zichzelf te downloaden op het doelsysteem. Als deze methoden niet werken, gebruikt de malware een downloader en installeert zichzelf op het apparaat, aldus Kaspersky.

Het brute force-proces van RapperBot is relatief ongebruikelijk en van der Weil zegt dat hij geen andere voorbeelden van malware kan noemen die deze aanpak gebruiken.

Toch is het, gezien het enorme aantal malwarevoorbeelden in het wild, onmogelijk te zeggen of dit de enige malware is die momenteel deze aanpak gebruikt. Het is waarschijnlijk niet het eerste stuk kwaadaardige code dat de techniek gebruikt, zegt hij.

Nieuwe, zeldzame tactieken

Kaspersky wees op RapperBot als een voorbeeld van malware die zeldzame en soms niet eerder vertoonde technieken gebruikt om zich te verspreiden.

Een ander voorbeeld is 'Rhadamanthys', een informatiedief die beschikbaar is als malware-as-a-service-optie op een Russischtalig cybercrimineel forum. De info-stealer is een van de groeiende aantallen malwarefamilies die door bedreigingsactoren zijn begonnen te verspreiden via kwaadaardige advertenties.

Bij deze tactiek plaatsen kwaadwillenden met malware geladen advertenties of advertenties met links naar phishingsites op online advertentieplatforms. Vaak zijn de advertenties voor legitieme softwareproducten en -toepassingen en bevatten ze trefwoorden die ervoor zorgen dat ze hoog in de resultaten van zoekmachines verschijnen of wanneer gebruikers bepaalde websites bezoeken. In de afgelopen maanden hebben dreigingsactoren dergelijke zogenaamde malvertisements gebruikt om richten op gebruikers van veelgebruikte wachtwoordmanagers zoals LastPass, Bitwarden en 1Password.

Het groeiende succes dat bedreigingsactoren hebben gehad met malvertising-zwendel, zorgt voor een toename van het gebruik van de techniek. De auteurs van Rhadamanthys, bijvoorbeeld, gebruikten aanvankelijk phishing- en spam-e-mails voordat ze overschakelden op kwaadaardige advertenties als de eerste infectievector.

"Rhadamanthys doet niets anders dan andere campagnes die gebruik maken van malvertising", zegt van der Weil. "Het maakt echter deel uit van een trend dat we zien dat malvertising steeds populairder wordt."

Een andere trend die Kaspersky heeft opgemerkt: het toenemende gebruik van open source malware onder minder ervaren cybercriminelen.

Neem CueMiner, een downloader voor malware voor het minen van munten die beschikbaar is op GitHub. De onderzoekers van Kaspersky hebben waargenomen dat aanvallers de malware verspreiden met behulp van getrojaniseerde versies van gekraakte apps die zijn gedownload via BitTorrent of van OneDrive-deelnetwerken.

"Vanwege het open source karakter kan iedereen het downloaden en compileren", legt Van der Weil uit. “Omdat deze gebruikers doorgaans niet erg geavanceerde cybercriminelen zijn, zijn ze aangewezen op relatief eenvoudige infectiemechanismen, zoals BitTorrent en OneDrive.”

• Door SEO aangedreven content en PR-distributie. Word vandaag nog versterkt.
• Platoblockchain. Web3 Metaverse Intelligentie. Kennis versterkt. Toegang hier.
• Bron: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware