Malware Mirai RapperBot Atacando Servidores de Jogos Online com DDoS

Um Botnet Mirai, “Rapperbot,” que pesquisadores da Fortinet notaram, fez seu retorno novamente através de uma nova campanha que infecta dispositivos IoT para um ataque DDoS contra servidores de jogos online.

Pesquisadores da Fortinet notaram pela primeira vez em agosto do ano passado quando usou força bruta SSH (Server Socket Shell) para avançar em servidores Linux.

Pesquisadores, ao rastrear as atividades do RapperBotnet, descobriram que o botnet está ativo desde maio de 2021, embora seu objetivo fosse difícil de interpretar.

A nova variante usa um sistema de auto-propagação Telnet que é mais próximo do método usado pelo malware original. Além disso, a razão por trás desta campanha agora está clara, pois os comandos DDoS na nova variante são personalizados para os ataques aos servidores que hospedam jogos online.

Além disso, os pesquisadores da Fortinet conseguiram amostrar a nova variante através dos restos dos Comandos C2 obtidos da campanha anterior, sugerindo que as características do funcionamento do botnet não mudaram.

Leia: Hacktivistas da Rússia com Amor Atacam Organizações da Ucrânia com Ransomware Somnia

O analista da empresa de segurança observou que a nova variante tinha várias diferenças, que incluíam suporte para força bruta Tel através desses comandos!

• Registrar (usado pelo cliente)

• Manter-Ativo/Fazer nada

• Parar todos os ataques DoS e encerrar o cliente

• Realizar um ataque DoS

• Parar todos os ataques DoS

• Reiniciar a força bruta Telnet

• Parar a força bruta Telnet

Agora o Malware tenta forçar a entrada usando as credenciais fracas familiares de uma lista codificada, enquanto anteriormente, eram buscadas do C2.

A Fortinet acrescentou que, para otimizar o efeito da força bruta, o Rapperbot compara a conexão do prompt do servidor a uma lista codificada de strings para identificar o possível dispositivo e então tenta apenas as credenciais conhecidas para o dispositivo.

Assim, ao contrário do malware IoT avançado, isso permite que o Rapperbot evite testar uma lista de credenciais completas e, após localizar com sucesso as credenciais, o malware reporta de volta ao C2 via porta 5123 e então tenta coletar e instalar a versão mais recente do binário principal do payload para a arquitetura do dispositivo identificado.

Atualmente, a arquitetura suportada é ARM, MIPS, PowerPC, SH4 e SPARC.

Além disso, a capacidade na versão mais antiga do RapperBot era tão limitada e comum que os analistas especularam que os atacantes poderiam estar mais interessados no acesso inicial, embora, com a versão mais recente, as características precisas do Rapperbot se tornaram óbvias com a inclusão de um extenso conjunto de comandos de ataques DoS.

• Inundação UDP genérica

• Inundação TCP SYN

• Inundação TCP ACK

• Inundação TCP STOMP

• Inundação SA:MP UDP direcionada a servidores de jogos rodando GTA San Andreas: Multi Player (SA:MP)

• Inundação GRE Ethernet

• Inundação GRE IP

• Inundação TCP genérica

Com base nos ataques HTTP Dos, o malware parece ser especializado em ataques contra os servidores de jogos.

Esse ataque adiciona ataques DoS contra o protocolo GRE e o protocolo UDP usado pelo mod GTA San Andreas Multi Player (SA: MP), disse a Fortinet.

A empresa de segurança acredita que o mesmo operador opera todos os ataques Raporbot descobertos, pois a nova variante sugere acesso ao código-fonte do malware e os protocolos de comunicação C2 são os mesmos, e as listas de força bruta também são as mesmas desde agosto de 2021.

Leia: Extensão Maliciosa Ataca Google Chrome; Permitindo que Hackers Tomem Controle Remotamente