Новий варіант Mirai використовує незвичайну тактику для розповсюдження шкідливих програм

Нова версія варіанту Mirai під назвою RapperBot є останнім прикладом шкідливого програмного забезпечення, яке використовує відносно незвичайні або раніше невідомі вектори зараження, щоб спробувати широко поширитися.

RapperBot вперше з’явився минулого року як зловмисне програмне забезпечення для Інтернету речей (IoT), що містить великі фрагменти вихідного коду Mirai, але з деякими суттєво іншими функціями порівняно з іншими варіантами Mirai. Відмінності включали використання нового протоколу для командно-контрольних (C2) зв’язків і вбудовану функцію для підбірки SSH-серверів, а не служб Telnet, як зазвичай у варіантах Mirai.

Загроза, що постійно розвивається

Дослідники з Fortinet, які відстежували зловмисне програмне забезпечення минулого року, помітили, що його автори регулярно змінюють шкідливе програмне забезпечення, спочатку додавання коду для підтримки стійкості на заражених машинах навіть після перезавантаження, а потім з кодом для самостійного розповсюдження через віддалений бінарний завантажувач. Пізніше автори зловмисного програмного забезпечення видалили функцію саморозповсюдження та додали ту, яка дозволяла їм постійний віддалений доступ до серверів SSH підбір.

У четвертому кварталі 2022 року дослідники Касперського виявив новий варіант RapperBot циркулює в дикій природі, де функцію грубої сили SSH було видалено та замінено можливостями для націлювання на сервери Telnet.

Аналіз зловмисного програмного забезпечення Kaspersky показав, що воно також інтегрувало те, що постачальник безпеки описав як «інтелектуальну» та дещо незвичайну функцію для підбірки telnet. Замість того, щоб використовувати підбір із величезним набором облікових даних, зловмисне програмне забезпечення перевіряє підказки, отримані під час підключення до пристрою за допомогою Telnet, і на основі цього вибирає відповідний набір облікових даних для атаки методом підбору. За словами Касперського, це значно прискорює процес грубої форсування порівняно з багатьма іншими інструментами зловмисного програмного забезпечення.

«Коли ви підключаєтеся до пристрою за допомогою Telnet, ви зазвичай отримуєте підказку, — говорить Йорнт ван дер Віл, старший дослідник безпеки Kaspersky. Підказка може розкрити деяку інформацію, яку RapperBot використовує, щоб визначити пристрій, на який він націлений, і які облікові дані використовувати, каже він.

За його словами, залежно від цільового пристрою IoT RapperBot використовує різні облікові дані. «Отже, для пристрою A він використовує набір користувача/паролю A; а для пристрою B він використовує набір користувача/паролю B», — говорить ван дер Віл.

Потім зловмисне програмне забезпечення використовує різні можливі команди, такі як «wget», «curl» і «ftpget», щоб завантажити себе в цільову систему. Якщо ці методи не працюють, зловмисне програмне забезпечення використовує завантажувач і встановлюється на пристрій, повідомляє Kaspersky.

Процес грубої сили RapperBot відносно рідкісний, і ван дер Вейл каже, що не може назвати інші зразки зловмисного програмного забезпечення, які використовують цей підхід.

Незважаючи на це, враховуючи величезну кількість зразків зловмисного програмного забезпечення в дикій природі, неможливо сказати, чи це єдине шкідливе програмне забезпечення, яке зараз використовує цей підхід. Ймовірно, це не перша частина шкідливого коду, яка використовує цю техніку, каже він.

Нові рідкісні тактики

Касперський вказав на RapperBot як на один із прикладів зловмисного програмного забезпечення, яке використовує для поширення рідкісні та іноді раніше невідомі методи.

Іншим прикладом є «Rhadamanthys», викрадач інформації, доступний у режимі шкідливого програмного забезпечення як послуги на російськомовному форумі кіберзлочинців. Викрадач інформації є одним із зростаючої кількості сімейств шкідливих програм, які зловмисники почали поширювати через зловмисну ​​рекламу.

Ця тактика полягає в тому, що зловмисники розміщують рекламні оголошення, насичені зловмисним програмним забезпеченням, або рекламу з посиланнями на фішингові сайти на рекламних онлайн-платформах. Часто оголошення стосуються законних програмних продуктів і додатків і містять ключові слова, які гарантують, що вони з’являться у результатах пошукової системи або коли користувачі переглядають певні веб-сайти. Останніми місяцями зловмисники використовували так звану шкідливу рекламу, щоб націлені на користувачів широко використовуваних менеджерів паролів такі як LastPass, Bitwarden і 1Password.

Зростання успіху, якого загрозливі особи досягають у шахрайстві зі зловмисною рекламою, стимулює збільшення використання цієї техніки. Автори Rhadamanthys, наприклад, спочатку використовували фішингові та спамові електронні листи, перш ніж перейти до шкідливої ​​реклами як початкового вектора зараження.

«Rhadamanthys нічим не відрізняється від інших кампаній, які використовують шкідливу рекламу», — каже ван дер Вейль. «Проте, ми бачимо, що шкідлива реклама стає все популярнішою, це частина тенденції».

Ще одна тенденція, яку помітив Касперський: зростання використання зловмисного програмного забезпечення з відкритим кодом серед менш кваліфікованих кіберзлочинців.

Візьмемо CueMiner, завантажувач шкідливих програм для майнінгу монет, доступний на GitHub. Дослідники Kaspersky помітили, що зловмисники поширюють шкідливе програмне забезпечення за допомогою троянських версій зламаних програм, завантажених через BitTorrent або з мереж обміну OneDrive.

«Завдяки природі відкритого вихідного коду кожен може завантажити та скомпілювати його», — пояснює ван дер Вейл. «Оскільки ці користувачі зазвичай не дуже просунуті кіберзлочинці, їм доводиться покладатися на відносно прості механізми зараження, такі як BitTorrent і OneDrive».

• Розповсюдження контенту та PR на основі SEO. Отримайте посилення сьогодні.
• Платоблокчейн. Web3 Metaverse Intelligence. Розширені знання. Доступ тут.
• джерело: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware