O malware TheMoon infecta 6.000 roteadores ASUS em 72 horas para serviço de proxy
27 de Março de 2024

Uma nova variante do botnet malware "TheMoon" foi observada infectando milhares de roteadores desatualizados de pequenos escritórios e residências (SOHO) e dispositivos IoT em 88 países.

TheMoon está ligado ao serviço de proxy "Faceless", que usa alguns dos dispositivos infectados como proxies para rotear tráfego para cibercriminosos que desejam anonimizar suas atividades maliciosas.

Pesquisadores do Black Lotus Labs monitorando a última campanha TheMoon, que começou no início de Março de 2024, observaram 6.000 roteadores ASUS sendo alvejados em menos de 72 horas.

Os analistas de ameaças informam que operações de malware, como o IcedID e o SolarMarker, atualmente usam a botnet de proxy para ofuscar suas atividades online.

O TheMoon foi avistado pela primeira vez em 2014, quando pesquisadores alertaram que o malware estava explorando vulnerabilidades para infectar dispositivos LinkSys.

A última campanha do malware tem sido vista infectando quase 7.000 dispositivos em uma semana, com o Black Lotus Labs afirmando que visam principalmente roteadores ASUS.

"Através da visibilidade da rede global da Lumen, o Black Lotus Labs identificou o mapa lógico do serviço de proxy Faceless, incluindo uma campanha que começou na primeira semana de Março de 2024, que visava mais de 6.000 roteadores ASUS em menos de 72 horas", alertam os pesquisadores do Black Lotus Labs.

Os pesquisadores não especificam o método exato usado para invadir os roteadores ASUS, mas considerando que os modelos de dispositivos visados estão no fim de sua vida útil, é provável que os invasores aproveitaram vulnerabilidades conhecidas no firmware.

Os invasores podem também forçar senhas de administrador ou testar credenciais padrão e fracas.

Uma vez que o malware ganha acesso a um dispositivo, ele verifica a presença de ambientes shell específicos ("/bin/bash," "/bin/ash," ou "/bin/sh"); caso contrário, ele interrompe a execução.

Se um shell compatível é detectado, o loader decripta, descarrega e executa um payload chamado ".nttpd" que cria um arquivo PID com um número de versão (26 atualmente).

Em seguida, o malware configura regras de iptables para descartar o tráfego TCP entrante nas portas 8080 e 80, enquanto permite tráfego de faixas de IP específicas.

Esta tática protege o dispositivo comprometido de interferência externa.

O malware tenta então contactar uma lista de servidores NTP legítimos para detectar ambientes sandbox e verificar a conectividade com a internet.

Finalmente, o malware se conecta com o servidor de comando e controle (C2) ao girar através de um conjunto de endereços IP codificados, e o C2 responde com instruções.

Em alguns casos, o C2 pode instruir o malware a buscar componentes adicionais, como um módulo de worm que procura por servidores web vulneráveis nas portas 80 e 8080 ou arquivos ".sox" que fazem o tráfego de proxy no dispositivo infectado.

Faceless é um serviço de proxy de cibercrime que roteia o tráfego de rede através de dispositivos comprometidos para clientes que pagam exclusivamente em criptomoedas.

O serviço não utiliza um processo de verificação "conheça-seu-cliente", tornando-o disponível para qualquer pessoa.

Para proteger sua infraestrutura de ser mapeada por pesquisadores, os operadores do Faceless garantem que cada dispositivo infectado se comunique com apenas um servidor pelo tempo que a infecção durar.

O Black Lotus Labs relata que um terço das infecções duram mais de 50 dias, enquanto 15% são perdidas em menos de 48 horas.

Isso indica que estes últimas são melhor monitorados e a invasão é detectada rapidamente.

Apesar da clara conexão entre TheMoon e Faceless, as duas operações parecem ser ecossistemas de cibercrime separados, já que nem todas as infecções por malware se tornam parte da botnet de proxying Faceless.

Para se defender contra essas botnets, use senhas fortes de administrador e atualize o firmware do seu dispositivo para a versão mais recente que corrige falhas conhecidas.

Se o dispositivo atingiu o EoL, substitua-o por um modelo ativamente suportado.

Sinais comuns de infecção por malware em roteadores e IoTs incluem problemas de conectividade, superaquecimento e alterações suspeitas nas configurações.

Publicidade

Black November Solyd 2024

Em nenhum outro momento você conseguirá pagar tão pouco em um treinamento e certificação Solyd. A Solyd não te oferece um simples curso online. Mas sim uma experiência completa de aulas com três profissionais que vivem e trabalham como um hacker 24 horas por dia, que se dedicam durante todo ano a tirar seus sonhos de criança do papel. Ter algo desse nível era impossível há apenas 10 anos atrás, e hoje conseguimos entregar o melhor programa de educação em hacking do mundo. O melhor dia para começar sempre foi HOJE. Saiba mais...