L'une des dernières attaques malveillantes qui peuvent facilement devenir une menace majeure implique la distribution d'un ver à certains visiteurs du site. Le ver va alors infecter les routeurs domestiques et les ajouter à un botnet particulier.
Détails sur l'attaque:
- La recherche indique que au moins cinq sites de rencontre sont probablement impliqués dans le scénario d'attaque que nous venons de décrire.
- Le ver est identifié comme une variante de TheMoon - une menace qui a été découvert et analysé par chercheurs Damballa en février 2014. TheMoon est conçu pour exploiter les points faibles dans le Protocole d'accueil Administration réseau.
Description de l'attaque
TheMoon a été analysé par SANS Institute. Voici leur une analyse.
Pour déployer le ver, acteurs malveillants utilisent actuellement des sites de rencontre où l'infection a lieu par l'intermédiaire d'un processus en deux étapes a commencé par un cadre malveillant intégré sur la page.
Comment fonctionne le iframe? Il fait appel URL différente pour déterminer si le routeur exécute le protocole HNAP. Le iframe vérifie également si le routeur utilise la 192.168.1.1 pour la gestion du routeur et passerelle IP.
Qu'est-ce 192.168.1.1?
192.168.l.l adresse IP est l'adresse du panneau de gestion d'un ADSL (ligne d'abonné numérique asymétrique) modem. Les entreprises qui fabriquent des appareils modernes charge mis à jour le logiciel à elle afin qu'elle soit facilement gérée par les utilisateurs. Merci à ce logiciel, les utilisateurs peuvent facilement configurer de nouveaux paramètres en atteignant leur panneau de gestion, si, par exemple, ils sont confrontés à des problèmes de connexion à Internet.
Après le 192.168.1.1 vérifications sont faites, l'iframe 'appelle la maison »et partage toutes les informations qu'il a découverts. Ceci est lorsque la deuxième phase de l'attaque a lieu: une deuxième URL est chargé dans l'iframe. Par conséquent, la charge utile - TheMoon ver - est livré, avec un binaire Linux ELF.
Une fois que le ver est installé, il empêchera les utilisateurs d'utiliser certains des ports entrants du routeur. Il peut également ouvrir les ports sortants et les utiliser pour se propager à d'autres routeurs.
L'infrastructure de Botnet
Qu'en est-il le botnet nous l'avons mentionné au début? Lorsque le ver a été découvert, il n'a pas été rapporté d'avoir une infrastructure de commandement et de contrôle. Actuellement, le botnet peut apparaître seulement dans ses stades de développement ou d'essais et il représente certainement un effort pour construire une infrastructure plus large.
chercheurs Daballa, qui a d'abord découvert la menace, crois ça:
Il existe différents scénarios sur la façon dont les criminels pourraient amener leurs victimes à visiter un site Web affecté via malvertising, exploiter des kits ou email phishing. Les criminels déplacés de balayage plages d'adresses IP pour les potentiels routeurs domestiques vulnérables à intégrer l'attaque sur un site Web. Il se sent comme cette conversion à une attaque basée sur le Web est nouveau et en construction.
En outre, les chercheurs ont identifié le propriétaire des sites de rencontre utilisés pour propager le ver. Cependant, ils croient que son identité a été volée et qu'il est pas le propriétaire du botnet. Aussi, pendant les premières campagnes malveillantes dans 2014, principalement affectés par le ver étaient des modèles de Linksys DLink maison routeurs.
Actuellement, les experts indiquent que la dernière version de TheMoon n'a pas été détecté par les produits antivirus.