Uma nova versão do malware botnet RapperBot está sendo usada para atingir servidores de jogos com ataques DDoS. Os dispositivos IoT estão sendo usados como gateways para acessar os servidores.
Servidores de jogos visados por invasores DDoS
Atores de ameaças estão usando o malware RapperBot para realizar ataques distribuídos negação de serviço (DDoS) ataques aos servidores do jogo. As plataformas Linux correm o risco de ataques por esse botnet altamente perigoso.
Em um postagem no blog da Fortinet, foi declarado que o RapperBot provavelmente está sendo direcionado a servidores de jogos devido aos comandos específicos que ele suporta e à falta de ausência de ataques DDoS relacionados a HTTP. IoT (Internet das Coisas) os dispositivos estão em risco aqui, embora pareça que o RapperBot está mais preocupado em direcionar dispositivos mais antigos equipados com o chipset Qualcomm MDM9625.
O RapperBot parece ter como alvo dispositivos rodando em arquiteturas ARM, MIPS, PowerPC, SH4 e SPARC, embora não tenha sido projetado para rodar em chipsets Intel.
Esta não é a estreia do RapperBot
O RapperBot não é novo no espaço do cibercrime, embora também não exista há anos. O RapperBot foi notado pela primeira vez na natureza em agosto de 2022 pela Fortinet, embora tenha sido confirmado que está em operação desde maio do ano anterior. Neste caso, o RapperBot estava sendo usado para iniciar o SSH ataques de força bruta para propagar em servidores Linux.
A Fortinet afirmou na postagem do blog mencionada acima que a diferença mais significativa nesta versão atualizada do RapperBot é "a substituição completa do código de força bruta SSH pelo código Telnet mais comum equivalente".
Este código Telnet é projetado para autopropagação, que se assemelha e pode ser inspirado no antigo botnet Mirai IoT que roda em processadores ARC. O código-fonte do Mirai vazou no final de 2016, o que levou à criação de várias versões modificadas (uma das quais pode ser o RapperBot).
Mas ao contrário do Mirai, esta iteração dos downloaders binários incorporados do RapperBot são "armazenados como strings de bytes de escape, provavelmente para simplificar a análise e o processamento dentro do código", conforme afirmado na postagem do blog da Fortinet sobre a nova versão do botnet.
Os operadores do botnet não são conhecidos
No momento da redação deste artigo, os operadores do RapperBot permanecem anônimos. No entanto, a Fortinet afirmou que um único ator malicioso ou grupo de atores com acesso ao código-fonte são os cenários mais prováveis. Mais informações sobre isso podem sair em um futuro próximo.
Também é provável que esta versão atualizada do RapperBot esteja sendo usada pelos mesmos indivíduos que operou a iteração anterior, pois precisariam de acesso ao código-fonte para realizar ataques.
A atividade do RapperBot continua a ser monitorada
A Fortinet encerrou sua postagem no blog sobre a variante atualizada do RapperBot, garantindo aos leitores que a atividade do malware será monitorada no futuro. Portanto, podemos continuar a ver mais instâncias do uso do RapperBot com o passar do tempo.
