RapperBot visa dispositivos IoT com “força bruta inteligente”

Os cibercriminosos estão em constante evolução, procurando e desenvolvendo novas formas de comprometer pessoas e empresas. A Kaspersky analisou métodos de infeção pouco comuns e descobriu uma variante do Rapperbot, um worm baseado no botnet Mirai, que infecta dispositivos IoT para lançar ataques de negação de serviço (DDoS) contra alvos não-HTTP. Os especialistas também analisaram o Rhadamanthys, um malware de roubo de informação, e o CUEMiner, um malware de código aberto distribuído presumivelmente através do BitTorrent e do One Drive.

O RapperBot foi observado pela primeira vez em junho de 2022, quando foi utilizado para visar o protocolo Secure Shell (SSH), considerado um sistema seguro de transferência de ficheiros através de encriptação, em comparação com os serviços Telnet, que transferem dados sob a forma de um texto simples. Contudo, a versão mais recente do RapperBot removeu a funcionalidade SSH e, agora, concentra-se exclusivamente no Telnet e com bastante sucesso. No último trimestre de 2022, as tentativas de infeção pelo RapperBot atingiram os 112 mil utilizadores, a partir de mais de 2.000 endereços IP únicos.

O que distingue o RapperBot de outros worms é a forma como executa os ataques de força bruta, fazendo-o de uma forma “inteligente”: verifica a prompt, e baseado nesse prompt, escolhe as credenciais mais apropriadas. Este é um formato que acelera o ataque, pois não tem de rever grandes listas de credenciais. Em dezembro de 2022, os países com o maior número de dispositivos infetados pelo RapperBot eram Taiwan, a Coreia do Sul e os Estados Unidos da América.

Outra nova família de malware descrita pela Kaspersky no seu blog é o CUEMiner, baseado num malware de código aberto que apareceu pela primeira vez no Github, em 2021. A última versão foi descoberta em outubro de 2022 e inclui um programa que monitoriza um sistema enquanto um processo pesado, como um videojogo, é lançado no computador de uma vítima.

Durante a investigação ao CUEMiner, a Kaspersky observou dois métodos de propagação do malware. O primeiro é através do download de software pirateado com trojans embutidos através do BitTorrent. O outro método é através de software pirateado com trojans embutidos a partir de redes de partilha do OneDrive. Ainda não é claro como as vítimas são atraídas para o download destes pacotes de software pirateado. No entanto, atualmente, são muitos os sites de download de software pirateado que não permitem a sua transferência imediata, desviando a o contacto para a plataforma Discord. Isto sugere a existência de uma forma de interação humana e de engenharia social.

Este tipo malware de código aberto é muito popular quer entre os cibercriminosos qualificados, como entre os novatos, uma vez que torna as campanhas massivas relativamente fáceis de executar. O CUEMiner tem feito vítimas em todo o mundo, incluindo empresas. A maioria delas, de acordo com as métricas geridas pela Kaspersky Security Network (KSN), estão localizadas no Brasil, Índia e Turquia.

Por fim, a Kaspersky providencia novas informações sobre o Rhadamanthys, um malware de roubo de informação que utiliza o Google Advertising como meio de distribuição e entrega. O Rhadamanthys já tinha sido mencionado no site Securelist em março de 2023, mas, desde então, foi descoberta uma ligação ao malware Hidden Bee, dedicado à mineração de criptomoedas. Ambos utilizam imagens para esconderem a payload e têm shellcodes semelhantes para se ativarem. Além disso, ambos utilizam sistemas de ficheiros virtuais in-memory e a linguagem de programação Lua para carregar módulos e plugins.

“O malware de código aberto, reutilização de código e rebranding são amplamente utilizados pelos cibercriminosos. Significa que mesmo os atacantes menos qualificados podem realizar campanhas em larga escala e visar vítimas em todo o mundo. Além disso, a malvertising está a tornar-se uma tendência, uma vez que já é muito procurado entre os grupos de malware. Para evitar estes ataques e proteger a sua empresa, é importante estar ciente do que se passa na área da segurança e utilizar as ferramentas de proteção mais recentes”, alerta Jornt van der Wiel, investigador sénior de segurança, GReAT na Kaspersky.