1. Администрация SafeZone приветствует вас на нашем форуме!
    Если вы больше не желаете видеть рекламу при просмотре тем и сообщений - то достаточно просто зарегистрироваться. Для зарегистрированных пользователей реклама не отображается.
    Если у вас возникли проблемы с регистрацией на форуме - то вы можете сообщить об этом с помощью этой формы без авторизации,администрация форума обязательно отреагирует на вашу проблему.
    Скрыть объявление

Червь TheMoon заражает роутеры через сайты знакомств

Тема в разделе "Новости информационной безопасности", создана пользователем Кирилл, 28 янв 2016.

  1. Кирилл

    Кирилл Команда форума Администратор

    Сообщения:
    13.215
    Симпатии:
    5.569
    Червь TheMoon впервые попал на радары экспертов в области информационной безопасности еще в 2014 году. Теперь специалисты компании Damballa обнаружили новую модификацию TheMoon, распространяющуюся через сайты знакомств. Вредонос пользуется слабостями протокола HNAP и поражает домашние роутеры (наиболее уязвимы Linksys и Dlink), делая их частью ботнета.

    Новая версия распространяется преимущественно через сайты знакомств на одну ночь. Атака осуществляется в два этапа. За первый этап отвечает вредоносный iframe, интегрированный в код страницы. С его помощью проверяют, использует ли роутер жертвы протокол HNAP, а также задействованы ли адреса 192.168.0.1 и 192.168.1.1 для управления устройством и в качестве шлюзов.

    [​IMG]
    Один из опасных сайтов

    Собрав данные, вредонос переправляет их своему хозяину. Если жертва признается подходящей, атака входит во вторую фазу. В окне iframe загружается еще одна вредоносная ссылка. На этот раз пользователь получает червя TheMoon в виде бинарника Linux ELF.

    Если атака прошла успешно, червь не дает жертве пользоваться некоторыми входящими портами роутера, а также открывает ряд исходящих портов для заражения других девайсов.

    Специалисты компании Damballa пишут, что наблюдая за червем в течение 2014-2015 годов, они так и не смоли обнаружить никакой C&C инфраструктуры, стоящей за ботнетом. Судя по всему, авторы вредоноса наращивают мощность и размеры сети, но для фактических атак ее пока не применяют.

    При этом ботнет и вредонос не выглядят заброшенными. Теорию специалистов подтверждает тот факт, что в конце 2015 года схема атаки немного изменилась. Злоумышленники отключили вторую фазу атаки: вредоносный URL убрали из iframe, а сам червь был удален с сервера хакеров.

    Эксперты отмечают, что такой способ распространения червя – это нечто новое. Хакеры уже не сканируют сеть в поисках уязвимых роутеров, но заманивают жертв на вредоносные сайты. Специалистам Damballa удалось отследить хозяина одного из опасных сайтов знакомств. Дальнейшее расследование показало, что этому же человеку принадлежат и четыре других вредоносных ресурса. Однако эксперты сомневаются, что этот человек имеет какое-то отношение к строящемуся ботнету. Скорее он пострадал от кражи личности, и домены были зарегистрированы на его имя нелегально.

    По данным Damballa, новая версия TheMoon пока не распознается ни одним антивирусом.

     
    orderman, Dragokas, SNS-amigo и ещё 1-му нравится это.
Загрузка...
Похожие темы - Червь TheMoon заражает
  1. Severnyj
    Ответов:
    0
    Просмотров:
    517
  2. лис.хвост
    Ответов:
    0
    Просмотров:
    798
  3. regist
    Ответов:
    1
    Просмотров:
    868
  4. shestale
    Ответов:
    1
    Просмотров:
    1.690
  5. Mila
    Ответов:
    0
    Просмотров:
    752
  6. Саныч
    Ответов:
    0
    Просмотров:
    936

Поделиться этой страницей