Червь TheMoon заражает роутеры через сайты знакомств

Тема в разделе "Новости информационной безопасности", создана пользователем Kиpилл, 28 янв 2016.

  1. Kиpилл
    Оффлайн

    Kиpилл Команда форума Администратор

    Лучший автор месяца

    Сообщения:
    12.197
    Симпатии:
    4.969
    Червь TheMoon впервые попал на радары экспертов в области информационной безопасности еще в 2014 году. Теперь специалисты компании Damballa обнаружили новую модификацию TheMoon, распространяющуюся через сайты знакомств. Вредонос пользуется слабостями протокола HNAP и поражает домашние роутеры (наиболее уязвимы Linksys и Dlink), делая их частью ботнета.

    Новая версия распространяется преимущественно через сайты знакомств на одну ночь. Атака осуществляется в два этапа. За первый этап отвечает вредоносный iframe, интегрированный в код страницы. С его помощью проверяют, использует ли роутер жертвы протокол HNAP, а также задействованы ли адреса 192.168.0.1 и 192.168.1.1 для управления устройством и в качестве шлюзов.

    [​IMG]
    Один из опасных сайтов

    Собрав данные, вредонос переправляет их своему хозяину. Если жертва признается подходящей, атака входит во вторую фазу. В окне iframe загружается еще одна вредоносная ссылка. На этот раз пользователь получает червя TheMoon в виде бинарника Linux ELF.

    Если атака прошла успешно, червь не дает жертве пользоваться некоторыми входящими портами роутера, а также открывает ряд исходящих портов для заражения других девайсов.

    Специалисты компании Damballa пишут, что наблюдая за червем в течение 2014-2015 годов, они так и не смоли обнаружить никакой C&C инфраструктуры, стоящей за ботнетом. Судя по всему, авторы вредоноса наращивают мощность и размеры сети, но для фактических атак ее пока не применяют.

    При этом ботнет и вредонос не выглядят заброшенными. Теорию специалистов подтверждает тот факт, что в конце 2015 года схема атаки немного изменилась. Злоумышленники отключили вторую фазу атаки: вредоносный URL убрали из iframe, а сам червь был удален с сервера хакеров.

    Эксперты отмечают, что такой способ распространения червя – это нечто новое. Хакеры уже не сканируют сеть в поисках уязвимых роутеров, но заманивают жертв на вредоносные сайты. Специалистам Damballa удалось отследить хозяина одного из опасных сайтов знакомств. Дальнейшее расследование показало, что этому же человеку принадлежат и четыре других вредоносных ресурса. Однако эксперты сомневаются, что этот человек имеет какое-то отношение к строящемуся ботнету. Скорее он пострадал от кражи личности, и домены были зарегистрированы на его имя нелегально.

    По данным Damballa, новая версия TheMoon пока не распознается ни одним антивирусом.

     
    orderman, Dragokas, SNS-amigo и ещё 1-му нравится это.

Поделиться этой страницей