Le malware RapperBot DDoS ajoute le cryptojacking comme nouvelle source de revenus

De nouveaux échantillons du malware RapperBot botnet ont ajouté des capacités de cryptojacking pour extraire la crypto-monnaie sur les machines Intel x64 compromises.

Le changement s'est produit progressivement, les développeurs ajoutant d'abord le composant de cryptomining séparément du malware botnet. Vers la fin du mois de janvier, les fonctionnalités de botnet et de cryptomining ont été combinées en une seule unité.

Les chercheurs des FortiGuard Labs de Fortinet suivent l'activité de RapperBot depuis juin 2022 et ont signalé que le botnet basé sur Mirai se concentrait sur la force brute des serveurs Linux SSH pour les recruter pour lancer des attaques par déni de service distribué (DDoS).

En novembre, les chercheurs ont trouvé une version mise à jour de RapperBot qui utilisait un mécanisme d'auto-propagation Telnet et incluait des commandes DoS mieux adaptées aux attaques sur les serveurs de jeux.

FortiGuard Labs a signalé cette semaine une variante mise à jour de RapperBot qui utilise le mineur XMRig Monero sur les architectures Intel x64.

La société de cybersécurité affirme que cette campagne est active depuis janvier et cible principalement les appareils IoT.

Le code du mineur est désormais intégré à RapperBot, masqué par un encodage XOR double couche, qui masque efficacement les pools de minage et les adresses de minage Monero aux analystes.

FortiGuard Labs a découvert que le bot reçoit sa configuration d'exploration de données du serveur de commande et de contrôle (C2) au lieu d'avoir des adresses de pool statiques codées en dur et utilise plusieurs pools et portefeuilles pour la redondance.

L'adresse IP C2 héberge même deux proxys de minage pour obscurcir davantage la trace. Si le C2 se déconnecte, RapperBot est configuré pour utiliser un pool de minage public.

Pour optimiser les performances de minage, le logiciel malveillant énumère les processus en cours d'exécution sur le système piraté et met fin à ceux correspondant aux mineurs concurrents.

Dans la dernière version analysée de RapperBot, le protocole réseau binaire pour la communication C2 a été remanié pour utiliser une approche de codage à deux couches pour échapper à la détection des moniteurs de trafic réseau.

De plus, la taille et les intervalles des requêtes envoyées au serveur C2 sont aléatoires pour rendre l'échange plus furtif, créant ainsi des modèles facilement reconnaissables.

Bien que les chercheurs n'aient observé aucune commande DDoS envoyée du serveur C2 aux échantillons analysés, ils ont découvert que la dernière version du bot prend en charge les commandes suivantes :

RapperBot semble évoluer rapidement et élargir la liste des fonctionnalités pour maximiser les profits de l'opérateur.

Pour protéger les appareils contre RapperBot et les logiciels malveillants similaires, il est conseillé aux utilisateurs de maintenir les logiciels à jour, de désactiver les services inutiles, de remplacer les mots de passe par défaut par quelque chose de fort et d'utiliser des pare-feu pour bloquer les demandes non autorisées.

La nouvelle campagne Horabot prend le contrôle des comptes Gmail et Outlook de la victime

Faille critique de Ruckus RCE exploitée par un nouveau malware botnet DDoS

Le FBI neutralise le malware de vol de données Russian Snake avec une commande d'autodestruction

Le nouveau malware voleur d'informations Atomic macOS cible 50 portefeuilles cryptographiques

Faille du routeur WiFi TP-Link Archer exploitée par le malware Mirai