Zlonamjerni software zarazio hiljade popularnih routera

Moderni kibernetički kriminalci koristi strategije slične uslugama u oblaku ili daljinskim uslugama, s komercijalnim partnerstvima između različitih timova koji žele postići isti cilj. Najnovija operacija kriminalističkog softvera osmišljena je za kompromitiranje usmjerivača(routera) i njihovo pretvaranje u proxy robote.

Istraživači iz Black Lotus Labsa otkrili su novu zlonamjernu kampanju koja uključuje ažuriranu verziju “TheMoona”, obitelji zlonamjernog softvera prvi put identificirane prije deset godina. Najnovija varijanta TheMoon-a je izgleda dizajnirana da ugrozi nesigurne kućne usmjerivače i druge IoT uređaje, koji se zatim iskorištavaju za usmjeravanje kriminalnog prometa kroz “komercijalnu” proxy uslugu poznatu kao Faceless.

TheMoon botnet je radio “tiho” dok je kompromitirao preko 40.000 uređaja iz 88 različitih zemalja u prva dva mjeseca 2024., objašnjavaju analitičari Black Lotusa . Nova kampanja započela je u prvom tjednu ožujka, a naizgled je bila usmjerena na kompromitiranje Asus routera. U manje od 72 sata zlonamjerni je softver zarazio više od 6000 mrežnih uređaja.

Black Lotus ne daje detalje o metodama koje zlonamjerni softver koristi za zarazu usmjerivača. Kriminalci vjerojatno iskorištavaju poznate ranjivosti kako bi uređaje na kraju životnog vijeka pretvorili u zlonamjerne robote. Nakon što je usmjerivač kompromitiran, TheMoon traži određena okruženja za izvršavanje svog glavnog zlonamjernog opterećenja.

Zlonamjerni softver tada može preuzeti dodatne zlonamjerne komponente, uključujući modul nalik crvu koji može skenirati ranjive HTTP poslužitelje, kao i preuzeti .sox datoteke koje omogućuju kompromitiranom uređaju da djeluje kao proxy. Većina Asusovih usmjerivača zaraženih najnovijom TheMoon varijantom mapirani su kao botovi koji pripadaju Facelessu, poznatoj proxy usluzi koju koriste operacije zlonamjernog softvera kao što su IcedID i SolarMarker.

Cyberkriminalci mogu upotrijebiti Faceless kako bi prikrili svoj zlonamjerni promet, plaćajući uslugu u kripto. Istraživači Black Lotusa kažu da jedna trećina infekcija traje više od 50 dana, dok 15 posto njih nestane s mreže za nekoliko dana. Čini se da su TheMoon i Faceless dvije potpuno različite kriminalne operacije, iako sada imaju zajednički interes pretvoriti sigurnosne propuste u poslovnu priliku.

Black Lotus kaže da se korisnici mogu obraniti od IoT prijetnji korištenjem jakih lozinki i nadogradnjom firmware-a mrežnog uređaja na najnoviju dostupnu verziju. Dotrajali usmjerivači poput Asusovih na koje cilja TheMoon trebali bi se, međutim, zamijeniti novijim, još uvijek podržanim modelima.