Malware-ul TheMoon infectează routerele ASUS
https://www.bleepingcomputer.com
O nouă variantă a botnetului TheMoon a fost detectată infectând mii de routere și dispozitive IoT învechite de tip SOHO (Small Office and Home Office) în 88 de țări.
TheMoon are legătură cu serviciul de proxy Faceless, care utilizează unele dintre dispozitivele infectate ca proxy pentru a direcționa traficul pentru atacatorii care doresc să își ascundă activitățile malițioase.
Specialiști în securitate cibernetică informează că anumite operațiuni malware precum IcedID și SolarMarker utilizează în prezent botnetul proxy pentru a-și ascunde activitatea online.
Perspectivă generală a serviciului proxy Faceless
Sursă: Black Lotus Labs
Specialiști din cadrul Black Lotus Labs au identificat cea mai recentă campanie a malware-ului infectând aproape 7000 de dispozitive într-o săptămână, vizând în principal routerele ASUS.
Nu a fost specificată o metodă concretă privind exploatarea routerelor ASUS, dar având în vedere că modelele de dispozitive vizate sunt modele aflate la sfârșitul ciclului de viață, este probabil ca atacatorii să fi profitat de vulnerabilitățile cunoscute din firmware.
De asemenea, persoanele atacatorii ar putea efectua brute-force pentru conturile de administrator sau să testeze credențiale slab configurate sau implicite.
Odată ce programul malware obține acces la un dispozitiv, acesta verifică prezența unor medii shell specifice (/bin/bash, /bin/ash sau /bin/sh) în caz contrar, oprește execuția.
Faceless este un serviciu proxy de tip cybercrime care direcționează traficul de rețea prin dispozitive compromise pentru utilizatorii care plătesc exclusiv în criptomonede.
Pentru protejarea împotriva acestor rețele botnet, este recomandată utilizarea parolelor de administrare puternice și actualizarea dispozitivelor la cea mai recentă versiune care remediază vulnerabilitățile cunoscute.
Semnele comune de infectare cu malware a routerelor și a dispozitivelor IoT includ probleme de conectivitate, supraîncălzire și modificări neașteptate ale setărilor.
Sursă: https://www.bleepingcomputer.com/news/security/themoon-malware-infects-6-000-asus-routers-in-72-hours-for-proxy-service/
