ПЗПодії

Малварь заражает роутеры через сайты знакомств

2

Червь TheMoon впервые попал на радары экспертов в области информационной безопасности еще в 2014 году. Теперь специалисты компании Damballa обнаружили новую модификацию TheMoon, распространяющуюся через сайты знакомств. Вредонос пользуется слабостями протокола HNAP и поражает домашние роутеры (наиболее уязвимы Linksys и Dlink), делая их частью ботнета.

linksys-wrt1900ac_front-100261988-orig

Новая версия распространяется преимущественно через сайты знакомств на одну ночь. Атака осуществляется в два этапа. За первый этап отвечает вредоносный iframe, интегрированный в код страницы. С его помощью проверяют, использует ли роутер жертвы протокол HNAP, а также задействованы ли адреса 192.168.0.1 и 192.168.1.1 для управления устройством и в качестве шлюзов.

threat-group-uses-dating-sites-to-build-a-botnet-of-vulnerable-home-routers-499209-2

Один из опасных сайтов

Собрав данные, вредонос переправляет их своему хозяину. Если жертва признается подходящей, атака входит во вторую фазу. В окне iframe загружается еще одна вредоносная ссылка. На этот раз пользователь получает червя TheMoon в виде бинарника Linux ELF.

Если атака прошла успешно, червь не дает жертве пользоваться некоторыми входящими портами роутера, а также открывает ряд исходящих портов для заражения других девайсов.

Специалисты компании Damballa пишут, что наблюдая за червем в течение 2014-2015 годов, они так и не смоли обнаружить никакой C&C инфраструктуры, стоящей за ботнетом. Судя по всему, авторы вредоноса наращивают мощность и размеры сети, но для фактических атак ее пока не применяют.

При этом ботнет и вредонос не выглядят заброшенными. Теорию специалистов подтверждает тот факт, что в конце 2015 года схема атаки немного изменилась. Злоумышленники отключили вторую фазу атаки: вредоносный URL убрали из iframe, а сам червь был удален с сервера хакеров.

Эксперты отмечают, что такой способ распространения червя – это нечто новое. Хакеры уже не сканируют сеть в поисках уязвимых роутеров, но заманивают жертв на вредоносные сайты. Специалистам Damballa  удалось отследить хозяина одного из опасных сайтов знакомств. Дальнейшее расследование показало, что этому же человеку принадлежат и четыре других вредоносных ресурса. Однако эксперты сомневаются, что этот человек имеет какое-то отношение к строящемуся ботнету. Скорее он пострадал от кражи личности, и домены были зарегистрированы на его имя нелегально.

Читайте також -  Apple планує випустити iOS 18.2 в грудні

По данным Damballa, новая версия TheMoon пока не распознается ни одним антивирусом.

Взято с Xakep.ru

2 Comments

  1. … [Trackback]

    […] There you will find 36805 more Information to that Topic: portaltele.com.ua/news/events/malvar-zarazhaet-routery-cherez-sayty.html […]

  2. … [Trackback]

    […] There you will find 74142 additional Info to that Topic: portaltele.com.ua/news/events/malvar-zarazhaet-routery-cherez-sayty.html […]

Leave a reply

error: Вміст захищено!!!