6.000 enrutadores ASUS infestados en 72 horas para Servicio Proxy

Iniciado por AXCESS, Marzo 27, 2024, 04:34:09 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 27, 2024, 04:34:09 PM
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Se ha detectado una nueva variante de la botnet de malware "TheMoon" que infecta miles de enrutadores obsoletos de pequeñas oficinas y oficinas domésticas (SOHO) y dispositivos IoT en 88 países.

TheMoon está vinculado al servicio proxy "Faceless", que utiliza algunos de los dispositivos infectados como servidores proxy para enrutar el tráfico a los ciberdelincuentes que desean mantener en el anonimato sus actividades maliciosas.

Los investigadores de Black Lotus Labs que monitorean la última campaña de TheMoon, que comenzó a principios de marzo de 2024, observaron que 6.000 enrutadores ASUS fueron atacados en menos de 72 horas.

Los analistas de amenazas informan que las operaciones de malware como IcedID y SolarMarker utilizan actualmente la botnet proxy para ofuscar su actividad en línea.

Descripción general del servicio de proxy sin rostro
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta

Apuntando a enrutadores ASUS

TheMoon fue detectado por primera vez en 2014 cuando los investigadores advirtieron que el malware estaba explotando vulnerabilidades para infectar dispositivos LinkSys.

Se ha observado que la última campaña del malware infecta casi 7.000 dispositivos en una semana, y Black Lotus Labs dice que se dirige principalmente a los enrutadores ASUS.

"A través de la visibilidad de la red global de Lumen, Black Lotus Labs ha identificado el mapa lógico del servicio de proxy Faceless, incluida una campaña que comenzó en la primera semana de marzo de 2024 y que se dirigió a más de 6.000 enrutadores ASUS en menos de 72 horas", advierte Black Lotus. Investigadores de laboratorios.

Los investigadores no especifican el método exacto utilizado para violar los enrutadores ASUS, pero dado que los modelos de dispositivos objetivo están al final de su vida útil, es probable que los atacantes aprovecharan vulnerabilidades conocidas en el firmware.

Los atacantes también pueden forzar contraseñas de administrador por fuerza bruta o probar credenciales débiles y predeterminadas.

Una vez que el malware obtiene acceso a un dispositivo, comprueba la presencia de entornos de shell específicos ("/bin/bash", "/bin/ash" o "/bin/sh"); de lo contrario, detiene la ejecución.

Si se detecta un shell compatible, el cargador descifra, descarta y ejecuta una carga útil denominada ".nttpd" que crea un archivo PID con un número de versión (26 actualmente).

A continuación, el malware configura reglas de iptables para eliminar el tráfico TCP entrante en los puertos 8080 y 80 y, al mismo tiempo, permitir el tráfico desde rangos de IP específicos. Esta táctica protege el dispositivo comprometido de interferencias externas.

A continuación, el malware intenta ponerse en contacto con una lista de servidores NTP legítimos para detectar entornos sandbox y verificar la conectividad a Internet.

Finalmente, el malware se conecta con el servidor de comando y control (C2) recorriendo un conjunto de direcciones IP codificadas y el C2 responde con instrucciones.

En algunos casos, el C2 puede indicarle al malware que recupere componentes adicionales, como un módulo de gusano que busca servidores web vulnerables en los puertos 80 y 8080 o archivos ".sox" que representan el tráfico en el dispositivo infectado.

El servicio de proxy sin rostro

Faceless es un servicio proxy de cibercrimen que dirige el tráfico de red a través de dispositivos comprometidos para clientes que pagan exclusivamente en criptomonedas. El servicio no utiliza un proceso de verificación de "conoce al cliente", por lo que está disponible para cualquier persona.

Para proteger su infraestructura de ser mapeada por los investigadores, los operadores Faceless se aseguran de que cada dispositivo infectado se comunique con un solo servidor mientras dure la infección.

Black Lotus Labs informa que un tercio de las infecciones duran más de 50 días, mientras que el 15% se pierde en menos de 48 horas. Esto indica que estos últimos están mejor controlados y el compromiso se detecta rápidamente.

A pesar de la clara conexión entre TheMoon y Faceless, las dos operaciones parecen ser ecosistemas de cibercrimen separados, ya que no todas las infecciones de malware pasan a formar parte de la botnet de proxy Faceless.

Para defenderse de estas botnets, utilice contraseñas de administrador seguras y actualice el firmware de su dispositivo a la última versión que solucione los fallos conocidos. Si el dispositivo ha alcanzado el EoL, reemplácelo con un modelo con soporte activo.

Los signos comunes de infección de malware en enrutadores e IoT incluyen problemas de conectividad, sobrecalentamiento y cambios de configuración sospechosos.

Fuente:
BleepingComputer
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
No tienes permitido ver los links. Registrarse o Entrar a mi cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario