Sampel baru dari malware botnet RapperBot telah menambahkan kemampuan cryptojacking untuk menambang cryptocurrency pada mesin Intel x64 yang disusupi.
Perubahan terjadi secara bertahap, dengan pengembang terlebih dahulu menambahkan komponen cryptomining secara terpisah dari malware botnet. Menjelang akhir Januari, fungsi botnet dan cryptomining digabungkan menjadi satu unit.
Kampanye penambangan RapperBot baru
Para peneliti di FortiGuard Labs Fortinet telah melacak aktivitas RapperBot sejak Juni 2022 dan melaporkan bahwa botnet berbasis Mirai berfokus pada server Linux SSH yang memaksa untuk merekrut mereka untuk meluncurkan serangan denial-of-service (DDoS) terdistribusi.
Pada bulan November, para peneliti menemukan versi terbaru dari RapperBot yang menggunakan mekanisme propagasi mandiri Telnet dan menyertakan perintah DoS yang lebih cocok untuk serangan pada server game.
FortiGuard Labs minggu ini melaporkan tentang varian RapperBot yang diperbarui yang menggunakan penambang XMRig Monero pada arsitektur Intel x64.
Perusahaan cybersecurity mengatakan kampanye ini telah aktif sejak Januari dan terutama menargetkan perangkat IoT.
Kode penambang sekarang terintegrasi ke dalam RapperBot, dikaburkan dengan pengkodean XOR lapisan ganda, yang secara efektif menyembunyikan kumpulan penambangan dan alamat penambangan Monero dari analis.
FortiGuard Labs menemukan bahwa bot menerima konfigurasi penambangannya dari server perintah dan kontrol (C2) alih-alih memiliki alamat kumpulan statis yang di-hardcode dan menggunakan banyak kumpulan dan dompet untuk redundansi.
Alamat IP C2 bahkan menghosting dua proxy penambangan untuk lebih mengaburkan jejak. Jika C2 offline, RapperBot dikonfigurasi untuk menggunakan kumpulan penambangan publik.
Untuk memaksimalkan kinerja penambangan, malware menghitung proses yang berjalan pada sistem yang dilanggar dan menghentikan proses yang sesuai dengan penambang pesaing.
Dalam versi RapperBot terbaru yang dianalisis, protokol jaringan biner untuk komunikasi C2 telah diubah untuk menggunakan pendekatan pengkodean dua lapis untuk menghindari deteksi dari monitor lalu lintas jaringan.
Selain itu, ukuran dan interval permintaan yang dikirim ke server C2 diacak untuk membuat pertukaran lebih tersembunyi, sehingga membuat pola yang mudah dikenali.
Meskipun para peneliti tidak mengamati perintah DDoS apa pun yang dikirim dari server C2 ke sampel yang dianalisis, mereka menemukan bahwa versi bot terbaru mendukung perintah berikut:
- Lakukan serangan DDoS (UDP, TCP, dan HTTP GET)
- Hentikan serangan DDoS
- Hentikan sendiri (dan semua proses anak)
RapperBot tampaknya berkembang dengan cepat dan memperluas daftar fitur untuk memaksimalkan keuntungan operator.
Untuk melindungi perangkat dari RapperBot dan malware serupa, pengguna disarankan untuk memperbarui perangkat lunak, menonaktifkan layanan yang tidak perlu, mengubah kata sandi default menjadi sesuatu yang kuat, dan menggunakan firewall untuk memblokir permintaan yang tidak sah.
