Uno degli ultimi attacchi dannosi che può facilmente diventare una grave minaccia prevede la distribuzione di un verme ad alcuni visitatori del sito web. Il worm quindi infettare router di casa e li aggiungerà ad un particolare botnet.
Ulteriori informazioni su botnet
Dettagli sulla attacco:
- La ricerca indica che almeno cinque siti di incontri sono probabilmente coinvolti nello scenario di attacco che abbiamo appena descritto.
- Il worm è identificato come una variante di TheMoon - una minaccia che è stato scoperto e analizzato da ricercatori Damballa a febbraio 2014. TheMoon è stato progettato per sfruttare i punti deboli del protocollo Home Network Administration.
Descrizione della attacco
TheMoon è stato analizzato dal SANS Institute. Ecco la loro analisi.
Per distribuire il worm, attori maligni stanno attualmente utilizzando siti di incontri in cui l'infezione avviene attraverso un processo in due fasi iniziato da un telaio malevolo incorporato nella pagina.
Come funziona l'iframe? Rende diverso URL chiama a determinare se il router esegue il protocollo HNAP. L'iframe controlla anche se il router utilizza la 192.168.1.1 per la gestione del router e gateway IP.
Che cosa è 192.168.1.1?
192.168.l.l indirizzo ip è l'indirizzo pannello di gestione di un ADSL (Asymmetric Digital Subscriber Line) modem. Le aziende che fanno dispositivi modem carico software per l'aggiornamento in modo che sia facilmente gestito dagli utenti. Grazie a questo software, gli utenti possono facilmente configurare nuove impostazioni per raggiungere il loro pannello di gestione, se, per esempio, essi si trovano ad affrontare problemi di connessione a Internet.
Dopo il 192.168.1.1 i controlli vengono effettuati, l'iframe ‘chiama a casa’ e condivide le informazioni a sua ha scoperto. Questo è quando la seconda fase di attacco, avviene: un secondo URL viene caricato nell'iframe. Di conseguenza, il carico utile - TheMoon worm - è consegnato, insieme a un binario Linux ELF.
Una volta installato il worm, impedirà agli utenti di utilizzare alcune delle porte in ingresso del router. Può anche aprire porte in uscita e li usa per diffondersi ad altri router.
L'infrastruttura botnet
Che dire della botnet di cui abbiamo parlato all'inizio? Quando il worm è stato scoperto, non è stato segnalato per avere un'infrastruttura di comando e controllo. Attualmente, la botnet può apparire solo nelle sue fasi sviluppare o testare e rappresenta sicuramente uno sforzo per costruire un'infrastruttura più ampia.
ricercatori Daballa, che per primo ha scoperto la minaccia, credere che:
Ci sono diversi scenari su come i criminali potrebbero portare le loro vittime a visitare un sito web colpiti tramite malvertising, kit di exploit o e-mail di phishing. I criminali spostati dalla scansione di intervalli di indirizzi IP per i potenziali router domestici vulnerabili alla incorporare l'attacco su un sito web. Ci si sente come questa conversione ad un attacco basato sul Web è nuovo e in fase di costruzione.
In aggiunta, ricercatori hanno identificato il proprietario dei siti di incontri utilizzati per diffondere il worm. Tuttavia, credono che la sua identità è stata rubata e che non è il proprietario della botnet. Anche, durante le prime campagne maligni in 2014, per lo più colpiti dal worm sono stati modelli di Linksys DLink casa router.
Attualmente, gli esperti segnalano che l'ultima versione di TheMoon non viene rilevato da prodotti antivirus.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: