RapperBot DDoS-Malware fügt Kryptojacking als neue Einnahmequelle hinzu

Neue Proben der RapperBot-Botnet-Malware haben Kryptojacking-Funktionen hinzugefügt, um auf kompromittierten Intel x64-Maschinen nach Kryptowährungen zu schürfen.

Die Änderung erfolgte schrittweise, wobei die Entwickler zunächst die Kryptomining-Komponente getrennt von der Botnet-Malware hinzufügten. Gegen Ende Januar wurden die Botnet- und Kryptomining-Funktionalitäten in einer Einheit zusammengefasst.

Forscher der FortiGuard Labs von Fortinet verfolgen die Aktivitäten von RapperBot seit Juni 2022 und berichteten, dass sich das auf Mirai basierende Botnetz darauf konzentrierte, Linux-SSH-Server brutal zu manipulieren, um sie für die Durchführung verteilter Denial-of-Service-Angriffe (DDoS) zu rekrutieren.

Im November fanden die Forscher eine aktualisierte Version von RapperBot, die einen Telnet-Selbstverbreitungsmechanismus nutzte und DoS-Befehle enthielt, die besser für Angriffe auf Gaming-Server geeignet waren.

FortiGuard Labs berichtete diese Woche über eine aktualisierte Variante von RapperBot, die den XMRig Monero Miner auf Intel x64-Architekturen verwendet.

Nach Angaben des Cybersicherheitsunternehmens ist diese Kampagne seit Januar aktiv und zielt hauptsächlich auf IoT-Geräte ab.

Der Code des Miners ist jetzt in RapperBot integriert und mit einer zweischichtigen XOR-Kodierung verschleiert, wodurch die Mining-Pools und Monero-Mining-Adressen effektiv vor Analysten verborgen bleiben.

FortiGuard Labs hat herausgefunden, dass der Bot seine Mining-Konfiguration vom Command-and-Control-Server (C2) erhält, anstatt fest codierte statische Pooladressen zu haben, und aus Redundanzgründen mehrere Pools und Wallets verwendet.

Die C2-IP-Adresse hostet sogar zwei Mining-Proxys, um die Spur weiter zu verschleiern. Wenn der C2 offline geht, ist RapperBot so konfiguriert, dass er einen öffentlichen Mining-Pool verwendet.

Um die Mining-Leistung zu maximieren, zählt die Malware laufende Prozesse auf dem angegriffenen System auf und beendet diejenigen, die den Minern der Konkurrenz entsprechen.

In der neuesten analysierten Version von RapperBot wurde das binäre Netzwerkprotokoll für die C2-Kommunikation überarbeitet, um einen zweischichtigen Codierungsansatz zu verwenden, um der Erkennung durch Netzwerkverkehrsmonitore zu entgehen.

Außerdem werden die Größe und die Intervalle der an den C2-Server gesendeten Anfragen zufällig ausgewählt, um den Austausch unauffälliger zu gestalten und so leicht erkennbare Muster zu schaffen.

Während die Forscher keine DDoS-Befehle beobachteten, die vom C2-Server an die analysierten Proben gesendet wurden, stellten sie fest, dass die neueste Bot-Version die folgenden Befehle unterstützt:

RapperBot scheint sich schnell weiterzuentwickeln und die Liste der Funktionen zu erweitern, um die Gewinne des Betreibers zu maximieren.

Um Geräte vor RapperBot und ähnlicher Malware zu schützen, wird Benutzern empfohlen, die Software auf dem neuesten Stand zu halten, unnötige Dienste zu deaktivieren, Standardkennwörter in ein sicheres zu ändern und Firewalls zu verwenden, um nicht autorisierte Anfragen zu blockieren.

Neue Horabot-Kampagne übernimmt die Gmail- und Outlook-Konten des Opfers

Kritischer Ruckus RCE-Fehler, der von neuer DDoS-Botnet-Malware ausgenutzt wird

Das FBI zerstört die Datendiebstahl-Malware „Russian Snake“ mit Selbstzerstörungsbefehl

Neue atomare macOS-Malware, die Informationen stiehlt, zielt auf 50 Krypto-Wallets ab

Fehler im WLAN-Router TP-Link Archer, der von Mirai-Malware ausgenutzt wird