Enkele weken geleden werd het internet opgeschrikt door nieuws over een gigantisch nieuw IoT-botnet dat vele malen erger zou zijn dan Mirai. Verschillende minder ervaren hackers maakten van de gelegenheid en vrijgekomen informatie gebruik om hun eigen Reaper-botnet te bouwen.

Zelf in botnet

De Reaper-malware gebruikt, in tegenstelling tot Mirai, een ingebouwde IP-scanner om kwetsbare systemen op te sporen en erop in te breken. Een onbekende hacker heeft vervolgens een IP-scan-tool uitgebracht om wannabe-hackers een handje te helpen met het scannen van IP-adressen.

Deze scanner bevatte echter ook enkele andere functies die een nieuwe gebruiker aanmaakt (achterdeur), het IP-adres van de gebruiker doorspeelt naar de hacker en botnet-malware installeert waardoor iedereen die de tool gebruikt om een nieuwe Reaper-botnet te maken zelf wordt toegevoegd in de Kaiten-botnet van de IP-scanner-bouwer.

Script-kiddies

De hacker heeft overigens niet heel hard z'n best gedaan de extra features te verstoppen. Het script dat deze extra features uitvoert, was vrij makkelijk te vinden, slechts versluierd in een brei van willekeurige tekens (iets dat op zichzelf al verdacht zou kunnen zijn) en versleuteld met ROT13, base64 en ten slotte ook nog was ge-gzipped. Hierdoor lijkt het alsof de hacker zich opzettelijk wilde richten op scriptkiddies of onervaren hackers.

De website waar de tool werd aangeboden is inmiddels offline.