Um dos mais recentes ataques maliciosos que podem facilmente se tornar uma grande ameaça envolve a distribuição de um verme a certos visitantes do site. O worm infectará roteadores domésticos e os adicionará a um botnet específico.
Detalhes sobre o ataque:
- Pesquisas indicam que pelo menos cinco sites de namoro provavelmente estão envolvidos no cenário de ataque que acabamos de descrever.
- O worm é identificado como uma variante do TheMoon – uma ameaça que foi descoberta e analisada por Pesquisadores de Damballa em fevereiro 2014. TheMoon é projetado para explorar os pontos fracos no Protocolo de Administração de Rede Doméstica.
Descrição do Ataque
TheMoon foi analisado pelo SANS Institute. Aqui está o seu análise.
Para implantar o worm, atores maliciosos estão atualmente usando sites de namoro onde a infecção ocorre por meio de um processo de duas etapas iniciado por um quadro malicioso incorporado na página.
Como funciona o iframe? Faz diferentes chamadas de URL para determinar se o roteador executa o protocolo HNAP. O iframe também verifica se o roteador usa o 192.168.1.1 para gerenciamento de roteador e IP de gateway.
O que é 192.168.1.1?
192.168.ll ip address é o endereço do painel de gerenciamento de um ADSL (Linha de Inscrição Digital Assimétrica) modem. As empresas que fabricam dispositivos de modem carregam software atualizado para que seja facilmente gerenciado pelos usuários. Graças a esse software, os usuários podem definir facilmente novas configurações acessando seu painel de gerenciamento, E se, por exemplo, eles estão enfrentando problemas de conexão com a Internet.
Depois de 192.168.1.1 verificações são feitas, o iframe 'liga para casa' e compartilha qualquer informação que tenha descoberto. É quando ocorre o segundo estágio do ataque: um segundo URL é carregado no iframe. Como um resultado, a carga útil – TheMoon worm – é entregue, juntamente com um binário Linux ELF.
Uma vez que o worm está instalado, impedirá que os usuários usem algumas das portas de entrada do roteador. Ele também pode abrir portas de saída e usá-las para se espalhar para outros roteadores.
A infraestrutura de botnets
E quanto ao botnet que mencionamos no início? Quando o verme foi descoberto pela primeira vez, não foi relatado ter uma infra-estrutura de comando e controle. atualmente, o botnet pode aparecer apenas em seus estágios de desenvolvimento ou teste e definitivamente representa um esforço para construir uma infraestrutura mais ampla.
Pesquisadores de Daballa, quem primeiro descobriu a ameaça, acredita nisso:
Existem diferentes cenários sobre como os criminosos podem levar suas vítimas a visitar um site afetado por meio de malvertising, kits de exploração ou e-mail de phishing. Os criminosos passaram de escanear intervalos de IP para potenciais roteadores domésticos vulneráveis para incorporar o ataque em um site. Parece que essa conversão para um ataque baseado na web é nova e está em construção.
além do que, além do mais, pesquisadores identificaram o dono dos sites de namoro usados para espalhar o worm. Contudo, eles acreditam que sua identidade foi roubada e que ele não é o dono da botnet. Além disso, durante as primeiras campanhas maliciosas em 2014, mais afetados pelo worm foram os modelos de roteadores domésticos Linksys DLink.
atualmente, especialistas relatam que a versão mais recente do TheMoon não é detectada por produtos antivírus.