Il malware DDoS RapperBot aggiunge il cryptojacking come nuovo flusso di entrate

Nuovi campioni del malware botnet RapperBot hanno aggiunto funzionalità di cryptojacking per estrarre criptovaluta su macchine Intel x64 compromesse.

Il cambiamento è avvenuto gradualmente, con gli sviluppatori che hanno prima aggiunto il componente cryptomining separatamente dal malware botnet. Verso la fine di gennaio le funzionalità della botnet e del cryptomining sono state riunite in un’unica unità.

I ricercatori dei FortiGuard Labs di Fortinet monitorano l'attività di RapperBot da giugno 2022 e hanno riferito che la botnet basata su Mirai si concentrava sulla forzatura bruta dei server SSH Linux per reclutarli per il lancio di attacchi DDoS (Distributed Denial of Service).

A novembre, i ricercatori hanno trovato una versione aggiornata di RapperBot che utilizzava un meccanismo di autopropagazione Telnet e includeva comandi DoS più adatti per gli attacchi ai server di gioco.

FortiGuard Labs questa settimana ha riferito di una variante aggiornata di RapperBot che utilizza il minatore XMRig Monero su architetture Intel x64.

L’azienda di sicurezza informatica afferma che questa campagna è attiva da gennaio e si rivolge principalmente ai dispositivi IoT.

Il codice del minatore è ora integrato in RapperBot, offuscato con la codifica XOR a doppio strato, che nasconde di fatto i pool minerari e gli indirizzi minerari Monero agli analisti.

FortiGuard Labs ha scoperto che il bot riceve la configurazione di mining dal server di comando e controllo (C2) invece di avere indirizzi di pool statici codificati e utilizza più pool e portafogli per la ridondanza.

L'indirizzo IP C2 ospita anche due proxy minerari per offuscare ulteriormente la traccia. Se C2 va offline, RapperBot è configurato per utilizzare un pool minerario pubblico.

Per massimizzare le prestazioni di mining, il malware enumera i processi in esecuzione sul sistema violato e termina quelli corrispondenti ai miner concorrenti.

Nell'ultima versione analizzata di RapperBot, il protocollo di rete binario per la comunicazione C2 è stato rinnovato per utilizzare un approccio di codifica a due livelli per eludere il rilevamento da parte dei monitor del traffico di rete.

Inoltre, la dimensione e gli intervalli delle richieste inviate al server C2 sono randomizzati per rendere lo scambio più furtivo, creando così modelli facilmente riconoscibili.

Sebbene i ricercatori non abbiano osservato alcun comando DDoS inviato dal server C2 ai campioni analizzati, hanno scoperto che l'ultima versione del bot supporta i seguenti comandi:

RapperBot sembra evolversi rapidamente e ampliare l'elenco delle funzionalità per massimizzare i profitti dell'operatore.

Per proteggere i dispositivi da RapperBot e malware simili, si consiglia agli utenti di mantenere il software aggiornato, disabilitare i servizi non necessari, modificare le password predefinite con qualcosa di sicuro e utilizzare i firewall per bloccare le richieste non autorizzate.

La nuova campagna Horabot prende il controllo degli account Gmail e Outlook delle vittime

Difetto critico Ruckus RCE sfruttato dal nuovo malware botnet DDoS

L'FBI attacca il malware Russian Snake per il furto di dati con il comando di autodistruzione

Il nuovo malware Atomic per il furto di informazioni su macOS prende di mira 50 portafogli crittografici

Difetto del router WiFi TP-Link Archer sfruttato dal malware Mirai