Een van de nieuwste kwaadaardige aanvallen die gemakkelijk een grote bedreiging kan worden heeft betrekking op de verdeling van een worm aan bepaalde bezoekers van de website. De worm zal dan infecteren thuisrouters en zal ze toe te voegen aan een bepaalde botnet.
Details over de aanval:
- Onderzoek wijst uit dat ten minste vijf dating websites waarschijnlijk zijn betrokken bij de aanval scenario we zojuist beschreven.
- De worm wordt geïdentificeerd als een variant van TheMoon - een bedreiging die werd ontdekt en geanalyseerd door Damballa onderzoekers in februari 2014. TheMoon is ontworpen om de zwakke plekken in de Home Network Administration Protocol exploiteren.
Beschrijving van de Attack
TheMoon werd geanalyseerd door SANS Institute. Hier is hun analyse.
Om de worm te zetten, kwaadaardige acteurs gebruiken momenteel dating sites waar de besmetting vindt plaats via een twee-staps proces gestart door een kwaadwillende kader ingesloten in de pagina.
Hoe werkt de iframe werk? Het maakt andere URL oproepen om te bepalen of de router loopt de HNAP protocol. De iframe ook controleert of de router maakt gebruik van de 192.168.1.1 voor router het beheer en de gateway IP.
Wat Is 192.168.1.1?
192.168.l.l ip adres is het beheer panel adres van een ADSL (Asymmetric digital subscriber line) modem. Bedrijven die modems alvorens deze te plaatsen bijgewerkte software om het zo dat het gemakkelijk wordt beheerd door gebruikers. Met dank aan die software, gebruikers kunnen eenvoudig nieuwe instellingen configureren door het bereiken van hun beheerpaneel, indien, bijvoorbeeld, ze worden geconfronteerd met Internet verbindingsproblemen.
Na het 192.168.1.1 controles worden gedaan, de iframe ‘noemt thuis’ en deelt de informatie waarover zij heeft ontdekt. Dit is wanneer de tweede fase van de aanval plaatsvindt: een tweede URL wordt geladen in het iframe. Dientengevolge, de payload - TheMoon worm - wordt geleverd, samen met een Linux ELF binary.
Zodra de worm is geïnstalleerd, het zal voorkomen dat gebruikers met behulp van enkele van de inkomende poorten van de router. Het kan ook open uitgaande poorten en gebruik ze om zich uitbreiden naar andere routers.
De Botnet Infrastructure
Hoe zit het met het botnet we in het begin genoemde? Toen de worm voor het eerst werd ontdekt, het was niet gemeld dat zij een command and control infrastructuur. Momenteel, de botnet kan alleen in de ontwikkeling of het testen van podia en het vertegenwoordigt zeker een poging om een bredere infrastructuur uit te bouwen.
Daballa onderzoekers, die voor het eerst ontdekt de dreiging, geloof dat:
Er zijn verschillende scenario's over hoe de criminelen hun slachtoffers zou kunnen brengen naar een getroffen website te bezoeken via malvertising, exploit kits of phishing e-mail. De criminelen verplaatst van het scannen van IP ranges voor potentiële kwetsbaar thuisrouters aan het inbedden van de aanval op een website. Het voelt alsof deze conversie naar een webgebaseerde aanval nieuw is en in aanbouw is.
Bovendien, onderzoekers identificeerden de eigenaar van de datingsites die werden gebruikt om de worm te verspreiden. Echter, ze geloven dat zijn identiteit is gestolen en dat hij niet de eigenaar is van het botnet. Ook, tijdens de eerste kwaadaardige campagnes in 2014, meestal getroffen door de worm waren modellen van Linksys DLink-thuisrouters.
Momenteel, experts melden dat de nieuwste versie van TheMoon niet wordt gedetecteerd door antivirusproducten.