Investigadores descobriram uma nova botnet, RapperBot, que visa especificamente sistemas Linux.
A RapperBot é uma botnet detectada recentemente, que apesar de ser baseada no trojan Mirai, foi alterada pelos atacantes para ter um comportamento diferente. Enquanto a Mirai se foca em tentar contaminar o maior número possível de dispositivos, para depois poder desencadear ataques DDoS, a RapperBot opta por uma disseminação mais controlada e focando-se em sistemas Linux.
O método consiste em lançar ataques brute-force contra servidores SSH Linux, tentando uma lista de credenciais descarregada pelo malware dos seus servidores de controlo.
Se conseguir entrar no servidor, adiciona uma nova chave SSH do atacante, para tentar assegurar uma forma de acesso mesmo no caso do malware ser detectado e eliminado; e que é recriada de hora a hora através de um processo temporizado via Cron, para que mesmo que seja removida, volte aser adicionada.
No entanto, ainda não se conhece qual o intuito desta botnet, já que se foca apenas em ganhar acesso aos sistemas e ficar a aguardar por mais instruções, sem qualquer comportamento propriamente malicioso por agora. Os invesigadores suspeitam que possa ser apenas a fase inicial de uma posterior vaga de ataques de ransomware ou roubo de dados.
2022/08/04
Subscrever:
Enviar feedback (Atom)
Sem comentários:
Enviar um comentário (problemas a comentar?)