La botnet RapperBot basada en Mirai ha resurgido a través de una nueva campaña que infecta los dispositivos IoT y se encarga de generar ataques DDoS (Distributed Denial of Service) contra servidores de juegos.
El malware fue descubierto por investigadores de Fortinet en Agosto, cuando utilizó fuerza bruta SSH para propagarse en los servidores de Linux.
Al rastrear sus actividades, los investigadores descubrieron que RapperBot ha estado operativo desde Mayo de 2021, pero que sus objetivos eran difíciles de descifrar.
Descubren una nueva botnet contra el navegador Chrome llamada Cloud9
En su lugar, la variante más reciente utiliza un mecanismo de autopropagación de Telnet que se acerca más al enfoque del malware Mirai original.
Además, la motivación de la campaña actual es más evidente, ya que los comandos DoS en la última variante están diseñados para ataques contra servidores que alojan juegos en línea.
Examinando RapperBot
Los analistas de Fortinet pudieron probar la nueva variante utilizando artefactos de comunicación C2 recopilados en campañas anteriores, lo que indica que este aspecto del funcionamiento de la botnet no ha cambiado.
Los analistas notaron que la nueva variante presentaba varias diferencias incluida la compatibilidad con la fuerza bruta de Telnet, utilizando los siguientes comandos:
- Registro (utilizado por el cliente)
- Keep-Alive/No hacer nada
- Detener todos los ataques DoS y finalizar el cliente
- Realizar un ataque DoS
- Detener todos los ataques DoS
- Reiniciar la fuerza bruta de Telnet
- Detener la fuerza bruta de Telnet
El malware intenta usar dispositivos de fuerza bruta utilizando credenciales débiles comunes de una lista codificada, mientras que anteriormente obtenía una lista del C2.
Después de encontrar las credenciales con éxito, lo informa al C2 a través del puerto 5123 y luego intenta obtener e instalar la versión correcta del binario de carga principal para la arquitectura del dispositivo detectado.
Las capacidades DoS en la variante anterior de RapperBot eran muy limitadas y genéricas.
Sin embargo, en la última variante, la verdadera naturaleza del malware se hizo evidente con la adición de un amplio conjunto de comandos de ataque DoS como:
- Inundación UDP genérica
- Inundación TCP SYN
- Inundación TCP ACK
- Inundación TCP STOMP
- UDP SA:MP servidores de juegos de segmentación por inundación que ejecutan GTA San Andreas: multijugador (SA:MP)
- Inundación de Ethernet GRE
- Inundación IP GRE
- Inundación TCP genérica
Basado en los métodos HTTP DoS, el malware parece estar especializado en lanzar ataques contra servidores de juegos.
Esta campaña agrega ataques DoS contra el protocolo GRE y el protocolo UDP utilizados por el mod Grand Theft Auto: San Andreas Multi Player, se declara en el informe de Fortinet.
Probablemente bajo los mismos operadores
Fortinet cree que todas las campañas de RapperBot detectadas están orquestadas por los mismos operadores, ya que las variantes más nuevas indican el acceso al código fuente del malware.
Además, el protocolo de comunicación C2 permanece sin cambios, la lista de credenciales utilizadas para los intentos de fuerza bruta ha sido la misma desde agosto de 2021.
Para proteger tus dispositivos IoT de infecciones de botnets, mantén el firmware actualizado y cambia las credenciales predeterminadas por una contraseña segura y única, procurar un firewall siempre que sea posible.