Una nueva versión de una variante de Mirai llamada RapperBot es el último ejemplo de malware que utiliza vectores de infección relativamente poco comunes o previamente desconocidos para tratar de propagarse ampliamente.
RapperBot apareció por primera vez el año pasado como malware de Internet de las cosas (IoT) que contenía grandes fragmentos del código fuente de Mirai pero con una funcionalidad sustancialmente diferente en comparación con otras variantes de Mirai. Las diferencias incluyeron el uso de un nuevo protocolo para comunicaciones de comando y control (C2) y una función integrada para servidores SSH de fuerza bruta en lugar de servicios Telnet, como es común en las variantes de Mirai.
Amenaza en constante evolución
Los investigadores de Fortinet que rastrearon el malware el año pasado observaron que sus autores alteraban regularmente el malware, primero agregando código para mantener la persistencia en máquinas infectadas incluso después de un reinicio, y luego con código para autopropagación a través de un descargador binario remoto. Más tarde, los autores del malware eliminaron la función de autopropagación y agregaron una que les permitía un acceso remoto persistente a los servidores SSH de fuerza bruta.
En el cuarto trimestre de 2022, los investigadores de Kaspersky descubrió una nueva variante de RapperBot circulando en la naturaleza, donde la funcionalidad de fuerza bruta SSH se eliminó y se reemplazó con capacidades para apuntar a servidores telnet.
El análisis de Kaspersky del malware mostró que también integró lo que el proveedor de seguridad describió como una característica "inteligente" y algo poco común para telnet de fuerza bruta. En lugar de usar fuerza bruta con un gran conjunto de credenciales, el malware verifica las indicaciones recibidas cuando accede a un dispositivo mediante telnet y, en función de eso, selecciona el conjunto de credenciales apropiado para un ataque de fuerza bruta. Eso acelera significativamente el proceso de fuerza bruta en comparación con muchas otras herramientas de malware, dijo Kaspersky.
“Cuando haces telnet a un dispositivo, por lo general recibes un aviso”, dice Jornt van der Wiel, investigador sénior de seguridad de Kaspersky. El indicador puede revelar cierta información que RapperBot usa para determinar el dispositivo al que se dirige y qué credenciales usar, dice.
Según el dispositivo IoT al que se dirige, RapperBot usa diferentes credenciales, dice. “Entonces, para el dispositivo A, usa el conjunto de usuario/contraseña A; y para el dispositivo B, usa el conjunto B de usuario/contraseña”, dice van der Wiel.
Luego, el malware usa una variedad de comandos posibles, como "wget", "curl" y "ftpget" para descargarse en el sistema de destino. Si estos métodos no funcionan, el malware usa un descargador y se instala en el dispositivo, según Kaspersky.
El proceso de fuerza bruta de RapperBot es relativamente poco común, y van der Weil dice que no puede nombrar otras muestras de malware que utilicen este enfoque.
Aun así, dada la gran cantidad de muestras de malware en la naturaleza, es imposible decir si es el único malware que actualmente utiliza este enfoque. Es probable que no sea la primera pieza de código malicioso que usa la técnica, dice.
Nuevas tácticas raras
Kaspersky señaló a RapperBot como un ejemplo de malware que emplea técnicas raras y, a veces, nunca antes vistas para propagarse.
Otro ejemplo es “Rhadamanthys”, un ladrón de información disponible bajo una opción de malware como servicio en un foro de ciberdelincuentes en idioma ruso. El ladrón de información es una entre un número creciente de familias de malware que los actores de amenazas han comenzado a distribuir a través de anuncios maliciosos.
La táctica consiste en que los adversarios planten anuncios cargados de malware o anuncios con enlaces a sitios de phishing en plataformas de anuncios en línea. A menudo, los anuncios son para aplicaciones y productos de software legítimos y contienen palabras clave que aseguran que aparezcan en los primeros lugares de los resultados de los motores de búsqueda o cuando los usuarios navegan por ciertos sitios web. En los últimos meses, los actores de amenazas han utilizado los llamados anuncios publicitarios maliciosos para usuarios objetivo de administradores de contraseñas ampliamente utilizados como LastPass, Bitwarden y 1Password.
El creciente éxito que han tenido los actores de amenazas con las estafas de publicidad maliciosa está impulsando un aumento en el uso de la técnica. Los autores de Rhadamanthys, por ejemplo, inicialmente utilizaron correos electrónicos de phishing y spam antes de cambiar a anuncios maliciosos como vector de infección inicial.
“Rhadamanthys no hace nada diferente a otras campañas que usan publicidad maliciosa”, dice van der Weil. “Sin embargo, es parte de una tendencia que vemos que la publicidad maliciosa se está volviendo más popular”.
Otra tendencia que Kaspersky ha detectado: el creciente uso de malware de código abierto entre los ciberdelincuentes menos calificados.
Por ejemplo, CueMiner, un descargador de malware de minería de monedas disponible en GitHub. Los investigadores de Kaspersky han observado que los atacantes distribuyen el malware utilizando versiones troyanizadas de aplicaciones descifradas descargadas a través de BitTorrent o de las redes compartidas de OneDrive.
“Debido a su naturaleza de código abierto, todos pueden descargarlo y compilarlo”, explica van der Weil. “Como estos usuarios no suelen ser ciberdelincuentes muy avanzados, tienen que depender de mecanismos de infección relativamente simples, como BitTorrent y OneDrive”.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- Platoblockchain. Inteligencia del Metaverso Web3. Conocimiento amplificado. Accede Aquí.
- Fuente: https://www.darkreading.com/remote-workforce/new-mirai-variant-employs-uncommon-tactics-to-distribute-malware
