Malware RapperBot de Mirai Ataca Servidores de Juegos en Línea con DDoS

Un botnet de Mirai, “Rapperbot,” que los investigadores de Fortinet notaron, ha regresado nuevamente a través de una nueva campaña que infecta dispositivos IoT para un ataque DDoS contra servidores de juegos en línea.

Los investigadores de Fortinet notaron por primera vez en agosto del año pasado cuando utilizó fuerza bruta SSH (Server Socket Shell) para avanzar en servidores Linux.

Los investigadores, al rastrear las actividades del RapperBotnet, descubrieron que el botnet ha estado activo desde mayo de 2021, aunque su objetivo era difícil de interpretar.

La nueva variante utiliza un sistema de autopropagación Telnet que está más cerca del método utilizado por el malware original. Además, la razón detrás de esta campaña ahora está clara, ya que los comandos DDoS en la nueva variante están personalizados para los ataques a los servidores que alojan juegos en línea.

Además, los investigadores de Fortinet pudieron muestrear la nueva variante a través de los restos de comandos C2 obtenidos de la campaña anterior, lo que sugiere que las características del funcionamiento del botnet no han cambiado.

Leer: Rusia con Amor Hacktivistas Atacan Organizaciones de Ucrania con Ransomware Somnia

El analista de la firma de seguridad observó que la nueva variante tenía varias diferencias, que incluían soporte para fuerza bruta Tel a través de estos comandos!

• Registrar (utilizado por el cliente)

• Mantener-Vivo/No hacer nada

• Detener todos los ataques DoS y terminar el cliente

• Realizar un ataque DoS

• Detener todos los ataques DoS

• Reiniciar la fuerza bruta Telnet

• Detener la fuerza bruta Telnet

Ahora el Malware intenta hacer fuerza bruta utilizando las credenciales débiles familiares de una lista codificada, mientras que antes, se obtenía de C2.

Fortinet agregó que para optimizar el efecto de la fuerza bruta, el Rapperbot compara la conexión del aviso del servidor con una lista codificada de cadenas para identificar el posible dispositivo y luego solo intenta las credenciales conocidas para el dispositivo.

Así que, a diferencia del malware IoT avanzado, esto permite que el Rapperbot evite probar una lista de credenciales completas, y después de localizar con éxito las credenciales, el malware informa de vuelta al C2 a través del puerto 5123 y luego intenta recopilar e instalar la última versión del binario de carga útil principal para la arquitectura de dispositivo identificada.

Actualmente, la arquitectura soportada es ARM, MIPS, PowerPC, SH4 y SPARC.

Además, la capacidad en la versión anterior de RapperBot era tan limitada y común que los analistas especularon que los atacantes podrían estar más interesados en el acceso inicial, aunque, con la última versión, las características precisas del Rapperbot se han vuelto obvias con la inclusión de un extenso conjunto de comandos de ataques DoS.

• Inundación UDP genérica

• Inundación TCP SYN

• Inundación TCP ACK

• Inundación TCP STOMP

• Inundación UDP SA:MP dirigida a servidores de juegos que ejecutan GTA San Andreas: Multi Player (SA:MP)

• Inundación GRE Ethernet

• Inundación GRE IP

• Inundación TCP genérica

Basado en los ataques HTTP Dos, el malware parece estar especializado en ataques contra los servidores de juegos.

Este ataque agrega ataques DoS contra el protocolo GRE y el protocolo UDP utilizado por el mod GTA San Andreas Multi Player (SA: MP), dice Fortinet.

La firma de seguridad cree que el mismo operador opera todos los ataques Raporbot descubiertos, ya que la nueva variante sugiere acceso al código fuente del malware y los protocolos de comunicación C2 son los mismos, y las listas de fuerza bruta también son las mismas desde agosto de 2021.

Leer: Extensión Maliciosa Afecta Google Chrome; Permitiendo a los Hackers Tomar Control Remotamente