Uno de los últimos ataques maliciosos que pueden convertirse fácilmente en una amenaza importante se refiere a la distribución de un gusano para ciertos visitantes del sitio web. El gusano se encarga de infectar routers domésticos y los añadirá a una red de bots en particular.
Más información sobre redes de bots
Los detalles sobre el ataque:
- Las investigaciones indican que al menos cinco sitios web de citas es probable que participan en el escenario de ataque que acabamos de describir.
- El gusano se identifica como una variante de TheMoon - una amenaza que fue descubierto y se analizó por investigadores Damballa en febrero 2014. TheMoon está diseñado para explotar los puntos débiles en el Protocolo de Inicio de administración de redes.
Descripción del Ataque
TheMoon se analizó por el Instituto SANS. Aquí está su análisis.
Para implementar el gusano, actores maliciosos actualmente están utilizando los sitios de citas donde la infección tiene lugar a través de un proceso de dos pasos iniciado por un marco malicioso incrustado en la página.
¿Cómo funciona el iframe? Se hace diferentes URL llama para determinar si el router funciona el protocolo HNAP. El iframe también comprueba si el router utiliza el 192.168.1.1 para la gestión y la puerta de enlace IP del router.
¿Qué es 192.168.1.1?
192.168.l.l dirección IP es la dirección de panel de gestión de una ADSL (Línea de Abonado Digital Asimétrica) módem. Las compañías que fabrican dispositivos de módem de carga actualizan el software de forma que es fácilmente manejado por los usuarios. Gracias a que el software, los usuarios pueden configurar fácilmente nuevos ajustes al llegar a su panel de gestión, si, por ejemplo, que se enfrentan a problemas de conexión a Internet.
Después de la 192.168.1.1 comprobaciones se realizan, el iframe ‘llama a casa’ y comparte toda la información que ha descubierto. Esto es cuando la segunda etapa del ataque se lleva a cabo: un segundo URL se carga en el iframe. Como resultado, la carga útil - TheMoon gusano - se entrega, junto con un binario Linux ELF.
Una vez que se instala el gusano, se evitará que los usuarios utilicen algunos de los puertos de entrada del router. También puede abrir los puertos de salida y utilizarlos para propagarse a otros enrutadores.
La infraestructura de red de bots
¿Qué pasa con la red de bots mencionamos en el inicio? Cuando se descubrió el primer gusano, no se informó de que una infraestructura de comando y control. Actualmente, la botnet puede aparecer sólo en sus etapas de desarrollo o de prueba y que sin duda representa un esfuerzo para construir una infraestructura más amplia.
investigadores Daballa, quien descubrió por primera vez la amenaza, creer que:
Hay diferentes escenarios sobre cómo los delincuentes podrían llevar a sus víctimas a visitar un sitio web a través de publicidad maliciosa afectados, explotar los kits o de correo electrónico de phishing. Los criminales se mudaron de escanear rangos de IP para los posibles routers domésticos vulnerables a la incrustación del ataque en un sitio web. Se siente como si esta conversión a un ataque basado en web es nuevo y en construcción.
Adicionalmente, los investigadores identificaron el propietario de los sitios de citas utilizadas para difundir el gusano. Sin embargo, creen que su identidad fue robada y que él no es el propietario de la red de bots. También, durante las primeras campañas maliciosas en 2014, mayormente afectados por el gusano eran modelos de routers Linksys D-Link.
Actualmente, expertos informan de que la última versión del TheMoon no es detectado por los antivirus.