Вредоносная программа RapperBot DDoS добавляет криптоджекинг в качестве нового источника дохода

Новые образцы вредоносного ПО ботнета RapperBot добавили возможности криптоджекинга для майнинга криптовалюты на взломанных компьютерах Intel x64.

Изменение происходило постепенно: разработчики сначала добавили компонент криптомайнинга отдельно от вредоносного ПО ботнета. К концу января функции ботнета и криптомайнинга были объединены в единое целое.

Исследователи из FortiGuard Labs компании Fortinet отслеживают активность RapperBot с июня 2022 года и сообщают, что ботнет на базе Mirai сосредоточился на переборе SSH-серверов Linux с целью их вербовки для запуска распределенных атак типа «отказ в обслуживании» (DDoS).

В ноябре исследователи обнаружили обновленную версию RapperBot, которая использовала механизм самораспространения Telnet и включала DoS-команды, которые лучше подходили для атак на игровые серверы.

На этой неделе компания FortiGuard Labs сообщила об обновленном варианте RapperBot, который использует майнер XMRig Monero на архитектурах Intel x64.

Фирма по кибербезопасности сообщает, что эта кампания активна с января и в первую очередь нацелена на устройства IoT.

Код майнера теперь интегрирован в RapperBot и замаскирован двухуровневым кодированием XOR, которое эффективно скрывает майнинговые пулы и адреса майнинга Monero от аналитиков.

Компания FortiGuard Labs обнаружила, что бот получает конфигурацию майнинга с сервера управления и контроля (C2) вместо жестко закодированных статических адресов пулов и использует несколько пулов и кошельков для резервирования.

На IP-адресе C2 даже размещены два прокси-сервера для майнинга, чтобы еще больше запутать след. Если C2 отключается от сети, RapperBot настроен на использование общедоступного пула майнинга.

Чтобы максимизировать производительность майнинга, вредоносное ПО перечисляет запущенные процессы в взломанной системе и завершает процессы, соответствующие майнерам конкурентов.

В последней проанализированной версии RapperBot двоичный сетевой протокол для связи C2 был обновлен и теперь использует двухуровневый подход к кодированию, чтобы избежать обнаружения мониторами сетевого трафика.

Кроме того, размер и интервалы запросов, отправляемых на сервер C2, рандомизируются, чтобы сделать обмен более скрытным, что позволяет легко распознавать шаблоны.

Хотя исследователи не заметили никаких DDoS-команд, отправленных с сервера C2 на анализируемые образцы, они обнаружили, что последняя версия бота поддерживает следующие команды:

RapperBot, похоже, быстро развивается и расширяет список функций, чтобы максимизировать прибыль оператора.

Чтобы защитить устройства от RapperBot и подобных вредоносных программ, пользователям рекомендуется обновлять программное обеспечение, отключать ненужные службы, менять пароли по умолчанию на более надежные и использовать брандмауэры для блокировки несанкционированных запросов.

Новая кампания Horabot захватывает учетные записи Gmail и Outlook жертвы

Критическая уязвимость Ruckus RCE, использованная новым вредоносным ПО ботнета DDoS

ФБР уничтожает вредоносную программу Russian Snake, кражу данных, с помощью команды самоуничтожения

Новое вредоносное ПО для кражи информации Atomic для macOS нацелено на 50 криптокошельков

Уязвимость Wi-Fi-маршрутизатора TP-Link Archer, использованная вредоносным ПО Mirai