Casa > Ciber Noticias > TheMoon Worm usa sitios de citas, Crea una red de bots de Inicio Routers
CYBER NOTICIAS

TheMoon gusano utiliza sitios de citas, Crea una red de bots de Inicio Routers

malware a través de-la-globo-sensorstechforumUno de los últimos ataques maliciosos que pueden convertirse fácilmente en una amenaza importante se refiere a la distribución de un gusano para ciertos visitantes del sitio web. El gusano se encarga de infectar routers domésticos y los añadirá a una red de bots en particular.

Más información sobre redes de bots

Los detalles sobre el ataque:

  • Las investigaciones indican que al menos cinco sitios web de citas es probable que participan en el escenario de ataque que acabamos de describir.
  • El gusano se identifica como una variante de TheMoon - una amenaza que fue descubierto y se analizó por investigadores Damballa en febrero 2014. TheMoon está diseñado para explotar los puntos débiles en el Protocolo de Inicio de administración de redes.

Descripción del Ataque

TheMoon se analizó por el Instituto SANS. Aquí está su análisis.

Para implementar el gusano, actores maliciosos actualmente están utilizando los sitios de citas donde la infección tiene lugar a través de un proceso de dos pasos iniciado por un marco malicioso incrustado en la página.

¿Cómo funciona el iframe? Se hace diferentes URL llama para determinar si el router funciona el protocolo HNAP. El iframe también comprueba si el router utiliza el 192.168.1.1 para la gestión y la puerta de enlace IP del router.

¿Qué es 192.168.1.1?

192.168.l.l dirección IP es la dirección de panel de gestión de una ADSL (Línea de Abonado Digital Asimétrica) módem. Las compañías que fabrican dispositivos de módem de carga actualizan el software de forma que es fácilmente manejado por los usuarios. Gracias a que el software, los usuarios pueden configurar fácilmente nuevos ajustes al llegar a su panel de gestión, si, por ejemplo, que se enfrentan a problemas de conexión a Internet.

Después de la 192.168.1.1 comprobaciones se realizan, el iframe ‘llama a casa’ y comparte toda la información que ha descubierto. Esto es cuando la segunda etapa del ataque se lleva a cabo: un segundo URL se carga en el iframe. Como resultado, la carga útil - TheMoon gusano - se entrega, junto con un binario Linux ELF.

Una vez que se instala el gusano, se evitará que los usuarios utilicen algunos de los puertos de entrada del router. También puede abrir los puertos de salida y utilizarlos para propagarse a otros enrutadores.

La infraestructura de red de bots

¿Qué pasa con la red de bots mencionamos en el inicio? Cuando se descubrió el primer gusano, no se informó de que una infraestructura de comando y control. Actualmente, la botnet puede aparecer sólo en sus etapas de desarrollo o de prueba y que sin duda representa un esfuerzo para construir una infraestructura más amplia.

investigadores Daballa, quien descubrió por primera vez la amenaza, creer que:

Hay diferentes escenarios sobre cómo los delincuentes podrían llevar a sus víctimas a visitar un sitio web a través de publicidad maliciosa afectados, explotar los kits o de correo electrónico de phishing. Los criminales se mudaron de escanear rangos de IP para los posibles routers domésticos vulnerables a la incrustación del ataque en un sitio web. Se siente como si esta conversión a un ataque basado en web es nuevo y en construcción.

Adicionalmente, los investigadores identificaron el propietario de los sitios de citas utilizadas para difundir el gusano. Sin embargo, creen que su identidad fue robada y que él no es el propietario de la red de bots. También, durante las primeras campañas maliciosas en 2014, mayormente afectados por el gusano eran modelos de routers Linksys D-Link.

Actualmente, expertos informan de que la última versión del TheMoon no es detectado por los antivirus.

Milena Dimitrova

Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim

Más Mensajes

Sígueme:
Gorjeo

Dejar un comentario

Su dirección de correo electrónico no será publicada. Los campos necesarios están marcados *

This website uses cookies to improve user experience. By using our website you consent to all cookies in accordance with our política de privacidad.
Estoy de acuerdo