O nouă versiune a unei variante Mirai numită RapperBot este cel mai recent exemplu de malware care utilizează vectori de infecție relativ neobișnuiți sau necunoscuți anterior pentru a încerca să se răspândească pe scară largă.
RapperBot a apărut pentru prima dată anul trecut ca malware Internet of Things (IoT) care conține bucăți mari de cod sursă Mirai, dar cu unele funcționalități substanțial diferite în comparație cu alte variante Mirai. Diferențele au inclus utilizarea unui nou protocol pentru comunicațiile de comandă și control (C2) și o funcție încorporată pentru serverele SSH cu forțare brută, mai degrabă decât serviciile Telnet, așa cum este obișnuit în variantele Mirai.
Amenințare în continuă evoluție
Cercetătorii de la Fortinet care au urmărit malware-ul anul trecut au observat că autorii săi modifică regulat malware-ul, mai întâi prin adăugarea de cod pentru a menține persistența pe mașinile infectate chiar și după o repornire și apoi cu cod pentru auto-propagare prin intermediul unui descărcator binar de la distanță. Mai târziu, autorii de malware au eliminat caracteristica de auto-propagare și au adăugat una care le-a permis acces persistent la distanță la serverele SSH forțate brute.
În al patrulea trimestru al anului 2022, cercetătorii Kaspersky a descoperit o nouă variantă RapperBot care circulă în sălbăticie, unde funcționalitatea brute-force SSH a fost eliminată și înlocuită cu capabilități de țintire a serverelor telnet.
Analiza de către Kaspersky a malware-ului a arătat că acesta a integrat și ceea ce furnizorul de securitate a descris ca fiind o caracteristică „inteligentă” și oarecum neobișnuită pentru telnet-ul brute-forcing. Mai degrabă decât forțarea brută cu un set uriaș de acreditări, malware-ul verifică solicitările primite atunci când conectează un telnet la un dispozitiv - și pe baza acestuia selectează setul adecvat de acreditări pentru un atac cu forță brută. Acest lucru accelerează semnificativ procesul de forțare brută în comparație cu multe alte instrumente malware, a spus Kaspersky.
„Când conectați un dispozitiv, de obicei primiți o solicitare”, spune Jornt van der Wiel, cercetător senior în securitate la Kaspersky. Solicitarea poate dezvălui unele informații pe care RapperBot le folosește pentru a determina dispozitivul pe care îl țintește și ce acreditări să folosească, spune el.
În funcție de dispozitivul IoT care este vizat, RapperBot folosește acreditări diferite, spune el. „Deci, pentru dispozitivul A, folosește setul de utilizator/parolă A; iar pentru dispozitivul B, folosește setul de utilizator/parolă B”, spune van der Wiel.
Malware-ul folosește apoi o varietate de comenzi posibile, cum ar fi „wget”, „curl” și „ftpget” pentru a se descărca pe sistemul țintă. Dacă aceste metode nu funcționează, malware-ul folosește un program de descărcare și se instalează singur pe dispozitiv, potrivit Kaspersky.
Procesul de forță brută al lui RapperBot este relativ neobișnuit, iar van der Weil spune că nu poate numi alte mostre de malware care utilizează abordarea.
Chiar și așa, având în vedere numărul mare de mostre de malware în sălbăticie, este imposibil de spus dacă este singurul malware care utilizează în prezent această abordare. Probabil că nu este prima bucată de cod rău intenționat care folosește tehnica, spune el.
Tactici noi, rare
Kaspersky a indicat RapperBot ca un exemplu de malware care folosește tehnici rare și uneori nevăzute anterior pentru a se răspândi.
Un alt exemplu este „Rhadamanthys”, un furt de informații disponibil în cadrul opțiunii de malware-as-a-service pe un forum de infracțiuni cibernetice în limba rusă. Furtul de informații este unul dintre un număr tot mai mare de familii de malware pe care actorii amenințărilor au început să le distribuie prin reclame rău intenționate.
Tactica presupune ca adversarii să planteze reclame încărcate de malware sau reclame cu link-uri către site-uri de phishing pe platformele de anunțuri online. Adesea, reclamele sunt pentru produse software și aplicații legitime și conțin cuvinte cheie care asigură că apar în primul rând în rezultatele motoarelor de căutare sau atunci când utilizatorii navighează pe anumite site-uri web. În ultimele luni, actorii amenințărilor au folosit astfel de așa-numite publicitate malware pentru a vizați utilizatorii managerilor de parole utilizate pe scară largă cum ar fi LastPass, Bitwarden și 1Password.
Succesul din ce în ce mai mare pe care actorii amenințărilor l-au avut cu escrocherii de publicitate malware stimulează o creștere a utilizării tehnicii. Autorii lui Rhadamanthys, de exemplu, au folosit inițial e-mailurile de tip phishing și spam înainte de a trece la reclame rău intenționate ca vector inițial de infectare.
„Rhadamanthys nu face nimic diferit de alte campanii care folosesc publicitate malițioasă”, spune van der Weil. „Totuși, face parte dintr-o tendință conform căreia publicitatea incorectă devine din ce în ce mai populară.”
O altă tendință pe care Kaspersky a observat-o: utilizarea în creștere a malware-ului open source în rândul infractorilor cibernetici mai puțin calificați.
Luați CueMiner, un program de descărcare pentru programe malware de extragere de monede, disponibil pe GitHub. Cercetătorii Kaspersky au observat atacatori care distribuiau malware folosind versiuni troiene ale aplicațiilor crăpate descărcate prin BitTorrent sau din rețelele de partajare OneDrive.
„Datorită naturii sale open source, oricine îl poate descărca și compila”, explică van der Weil. „Deoarece acești utilizatori nu sunt de obicei criminali cibernetici foarte avansați, ei trebuie să se bazeze pe mecanisme de infecție relativ simple, cum ar fi BitTorrent și OneDrive.”
- Distribuție de conținut bazat pe SEO și PR. Amplifică-te astăzi.
- Platoblockchain. Web3 Metaverse Intelligence. Cunoștințe amplificate. Accesați Aici.
- Sursa: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
- :este
- $UP
- 2022
- 7
- a
- acces
- Conform
- actori
- Ad
- adăugat
- Anunţuri
- avansat
- După
- printre
- analiză
- și
- aplicatii
- abordare
- adecvat
- Apps
- SUNT
- AS
- At
- ataca
- Autorii
- disponibil
- bazat
- devenire
- înainte
- BitTorrent
- construit-in
- by
- denumit
- Campanii
- CAN
- capacități
- sigur
- Verificări
- circulant
- cod
- Comun
- Comunicații
- comparație
- conţine
- crăpat
- scrisori de acreditare
- În prezent
- CYBERCRIMINAL
- cybercriminals
- descris
- Determina
- dispozitiv
- diferenţele
- diferit
- distribui
- distribuire
- Nu
- Descarca
- e-mailuri
- angajează
- Motor
- asigura
- Chiar
- evoluție
- exemplu
- explică
- familii
- Caracteristică
- First
- Pentru
- Fortinet
- forum
- Al patrulea
- din
- funcționalitate
- obține
- GitHub
- dat
- În creştere
- Avea
- Înalt
- Totuși
- HTTPS
- mare
- imposibil
- in
- inclus
- Crește
- info
- informații
- inițială
- inițial
- instanță
- integrate
- Inteligent
- Internet
- internetul Lucrurilor
- IoT
- Dispozitiv IoT
- IT
- ESTE
- în sine
- jpg
- Kaspersky
- limbă
- mare
- Nume
- Anul trecut
- LastPass
- Ultimele
- Probabil
- Link-uri
- Masini
- menține
- malware
- multe
- Metode
- luni
- mai mult
- nume
- Natură
- rețele
- Nou
- număr
- of
- on
- ONE
- on-line
- deschide
- open-source
- Opțiune
- Altele
- parte
- Parolă
- Phishing
- Site-uri de phishing
- bucată
- Semănat
- Platforme
- Plato
- Informații despre date Platon
- PlatoData
- Popular
- posibil
- în prealabil
- proces
- Produse
- protocol
- Trimestru
- RAR
- mai degraba
- primit
- recent
- regulat
- relativ
- la distanta
- acces de la distanță
- îndepărtat
- înlocuiește
- cercetător
- cercetători
- REZULTATE
- dezvălui
- Rusă
- s
- Said
- spune
- escrocherii
- Caută
- motor de cautare
- securitate
- senior
- Servere
- Servicii
- set
- partajarea
- semnificativ
- simplu
- Centre de cercetare
- So
- Software
- unele
- oarecum
- Sursă
- cod sursă
- spam-
- viteze
- răspândire
- succes
- astfel de
- Suprafață
- sistem
- tactică
- Ţintă
- vizate
- direcționare
- tehnici de
- acea
- Lor
- Acestea
- lucruri
- amenințare
- actori amenințători
- la
- Unelte
- Urmărire
- tendință
- tipic
- neobișnuit
- în
- utilizare
- utilizatorii
- Variantă
- varietate
- vânzător
- versiune
- de
- site-uri web
- Ce
- care
- pe larg
- Sălbatic
- cu
- Apartamente
- an
- Tu
- zephyrnet
