新的 Mirai 变体采用不常见的策略来分发恶意软件

一个名为 RapperBot 的 Mirai 变体的新版本是最新的恶意软件示例，它使用相对不常见或以前未知的感染媒介来尝试广泛传播。

RapperBot 于去年作为物联网 (IoT) 恶意软件首次出现，其中包含大量 Mirai 源代码，但与其他 Mirai 变体相比具有一些截然不同的功能。 不同之处包括使用新的命令和控制 (C2) 通信协议，以及用于暴力破解 SSH 服务器的内置功能，而不是 Mirai 变体中常见的 Telnet 服务。

不断发展的威胁

去年跟踪恶意软件的 Fortinet 研究人员观察到其作者定期更改恶意软件，首先是 添加代码以保持持久性 即使在重新启动后也会在受感染的机器上，然后通过远程二进制下载程序使用代码进行自我传播。 后来，恶意软件作者删除了自我传播功能并添加了一个允许他们持久远程访问暴力破解 SSH 服务器的功能。

2022 年第四季度，卡巴斯基的研究人员 发现了一个新的 RapperBot 变种 在野外传播，其中 SSH 暴力破解功能已被删除，取而代之的是针对 telnet 服务器的功能。

卡巴斯基对恶意软件的分析表明，它还集成了安全供应商所称的“智能”且有些不常见的暴力破解 telnet 功能。 恶意软件不会使用大量凭据进行暴力破解，而是检查当它远程登录到设备时收到的提示——并基于此选择合适的凭据集进行暴力破解。 卡巴斯基表示，与许多其他恶意软件工具相比，这显着加快了暴力破解过程。

“当你远程登录到一个设备时，你通常会得到一个提示，”卡巴斯基的高级安全研究员 Jornt van der Wiel 说。 他说，提示可以揭示 RapperBot 用来确定其目标设备和使用哪些凭据的一些信息。

他说，根据目标物联网设备，RapperBot 使用不同的凭据。 “因此，对于设备 A，它使用用户/密码集 A； 对于设备 B，它使用用户/密码集 B，”van der Wiel 说。

然后，恶意软件使用各种可能的命令，例如“wget”、“curl”和“ftpget”，将自身下载到目标系统上。 据卡巴斯基称，如果这些方法不起作用，恶意软件就会使用下载程序并将自身安装到设备上。

RapperBot 的暴力破解过程相对不常见，van der Weil 说他无法说出使用该方法的其他恶意软件样本的名称。

即便如此，考虑到恶意软件样本的绝对数量，我们无法确定它是否是目前唯一使用这种方法的恶意软件。 他说，这可能不是第一个使用该技术的恶意代码。

新的、罕见的策略

卡巴斯基将 RapperBot 列为恶意软件的一个例子，它使用罕见的、有时是前所未见的技术进行传播。

另一个例子是“Rhadamanthys”，这是一种信息窃取程序，在俄语网络犯罪论坛上的恶意软件即服务选项下可用。 信息窃取程序是越来越多的恶意软件家族之一，威胁行为者已开始通过恶意广告分发这些恶意软件家族。

该策略涉及对手在在线广告平台上植入充满恶意软件的广告或带有钓鱼网站链接的广告。 通常，这些广告针对的是合法软件产品和应用程序，并包含可确保它们在搜索引擎结果或用户浏览某些网站时出现在前列的关键字。 最近几个月，威胁行为者使用这种所谓的恶意广告来 广泛使用的密码管理器的目标用户 例如 LastPass、Bitwarden 和 1Password。

威胁行为者在恶意广告诈骗方面取得的越来越大的成功正在刺激该技术的使用增加。 例如，Rhadamanthys 的作者最初使用网络钓鱼和垃圾邮件，然后转而使用恶意广告作为初始感染媒介。

“Rhadamanthys 与其他使用恶意广告的活动没有任何不同，”van der Weil 说。 “然而，我们看到恶意广告变得越来越流行，这是一种趋势的一部分。”

卡巴斯基发现的另一个趋势是：技能较低的网络犯罪分子越来越多地使用开源恶意软件。

以 CueMiner 为例，它是 GitHub 上提供的挖币恶意软件下载器。 卡巴斯基的研究人员观察到攻击者使用通过 BitTorrent 或 OneDrive 共享网络下载的破解应用程序的木马化版本来分发恶意软件。

“由于其开源性质，每个人都可以下载和编译它，”van der Weil 解释道。 “由于这些用户通常不是非常高级的网络犯罪分子，他们必须依赖相对简单的感染机制，例如 BitTorrent 和 OneDrive。”

• SEO 支持的内容和 PR 分发。 今天得到放大。
• 柏拉图区块链。 Web3 元宇宙智能。 知识放大。 访问这里。
• Sumber: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware