Accueil > Nouvelles Cyber > TheMoon Worm utilise des sites de rencontres, Crée un Botnet d'Accueil Routeurs
CYBER NOUVELLES

TheMoon ver utilise des sites de rencontre, Crée un Botnet d'Accueil Routeurs

malware-travers-le-globe-sensorstechforumL'une des dernières attaques malveillantes qui peuvent facilement devenir une menace majeure implique la distribution d'un ver à certains visiteurs du site. Le ver va alors infecter les routeurs domestiques et les ajouter à un botnet particulier.

En savoir plus sur Botnets

Détails sur l'attaque:

  • La recherche indique que au moins cinq sites de rencontre sont probablement impliqués dans le scénario d'attaque que nous venons de décrire.
  • Le ver est identifié comme une variante de TheMoon - une menace qui a été découvert et analysé par chercheurs Damballa en février 2014. TheMoon est conçu pour exploiter les points faibles dans le Protocole d'accueil Administration réseau.

Description de l'attaque

TheMoon a été analysé par SANS Institute. Voici leur une analyse.

Pour déployer le ver, acteurs malveillants utilisent actuellement des sites de rencontre où l'infection a lieu par l'intermédiaire d'un processus en deux étapes a commencé par un cadre malveillant intégré sur la page.

Comment fonctionne le iframe? Il fait appel URL différente pour déterminer si le routeur exécute le protocole HNAP. Le iframe vérifie également si le routeur utilise la 192.168.1.1 pour la gestion du routeur et passerelle IP.

Qu'est-ce 192.168.1.1?

192.168.l.l adresse IP est l'adresse du panneau de gestion d'un ADSL (ligne d'abonné numérique asymétrique) modem. Les entreprises qui fabriquent des appareils modernes charge mis à jour le logiciel à elle afin qu'elle soit facilement gérée par les utilisateurs. Merci à ce logiciel, les utilisateurs peuvent facilement configurer de nouveaux paramètres en atteignant leur panneau de gestion, si, par exemple, ils sont confrontés à des problèmes de connexion à Internet.

Après le 192.168.1.1 vérifications sont faites, l'iframe 'appelle la maison »et partage toutes les informations qu'il a découverts. Ceci est lorsque la deuxième phase de l'attaque a lieu: une deuxième URL est chargé dans l'iframe. Par conséquent, la charge utile - TheMoon ver - est livré, avec un binaire Linux ELF.

Une fois que le ver est installé, il empêchera les utilisateurs d'utiliser certains des ports entrants du routeur. Il peut également ouvrir les ports sortants et les utiliser pour se propager à d'autres routeurs.

L'infrastructure de Botnet

Qu'en est-il le botnet nous l'avons mentionné au début? Lorsque le ver a été découvert, il n'a pas été rapporté d'avoir une infrastructure de commandement et de contrôle. Actuellement, le botnet peut apparaître seulement dans ses stades de développement ou d'essais et il représente certainement un effort pour construire une infrastructure plus large.

chercheurs Daballa, qui a d'abord découvert la menace, crois ça:

Il existe différents scénarios sur la façon dont les criminels pourraient amener leurs victimes à visiter un site Web affecté via malvertising, exploiter des kits ou email phishing. Les criminels déplacés de balayage plages d'adresses IP pour les potentiels routeurs domestiques vulnérables à intégrer l'attaque sur un site Web. Il se sent comme cette conversion à une attaque basée sur le Web est nouveau et en construction.

En outre, les chercheurs ont identifié le propriétaire des sites de rencontre utilisés pour propager le ver. Cependant, ils croient que son identité a été volée et qu'il est pas le propriétaire du botnet. Aussi, pendant les premières campagnes malveillantes dans 2014, principalement affectés par le ver étaient des modèles de Linksys DLink maison routeurs.

Actuellement, les experts indiquent que la dernière version de TheMoon n'a pas été détecté par les produits antivirus.

Milena Dimitrova

Un écrivain et gestionnaire de contenu inspiré qui travaille avec SensorsTechForum depuis le début du projet. Un professionnel avec 10+ années d'expérience dans la création de contenu engageant. Axé sur la vie privée des utilisateurs et le développement des logiciels malveillants, elle croit fermement dans un monde où la cybersécurité joue un rôle central. Si le bon sens n'a pas de sens, elle sera là pour prendre des notes. Ces notes peuvent se tourner plus tard dans les articles! Suivre Milena @Milenyim

Plus de messages

Suivez-moi:
Gazouillement

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont marqués *

Ce site Web utilise des cookies pour améliorer l'expérience utilisateur. En utilisant notre site Web, vous consentez à tous les cookies conformément à nos politique de confidentialité.
Je suis d'accord