Il malware TheMoon infetta il servizio Proxy di 6.000 router ASUS in 72 ore.

Una nuova variante della botnet malware "TheMoon" è stata individuata mentre infettava migliaia di router SOHO (piccoli uffici e uffici domestici) e dispositivi IoT obsoleti in 88 paesi.

TheMoon è collegato al servizio proxy "Faceless", che utilizza alcuni dei dispositivi infetti come proxy per instradare il traffico per i criminali informatici che desiderano rendere anonime le loro attività dannose.

I ricercatori di Black Lotus Labs che monitorano l’ultima campagna TheMoon, iniziata all’inizio di marzo 2024, hanno osservato 6.000 router ASUS presi di mira in meno di 72 ore.

Gli analisti delle minacce riferiscono che le operazioni malware come IcedID e SolarMarker utilizzano attualmente la botnet proxy per offuscare la loro attività online.

TheMoon è stato individuato per la prima volta nel 2014 quando i ricercatori hanno avvertito che il malware stava sfruttando le vulnerabilità per infettare i dispositivi LinkSys.

L'ultima campagna del malware è stata vista infettare quasi 7.000 dispositivi in una settimana, con Black Lotus Labs che afferma di prendere di mira principalmente i router ASUS.

"Attraverso la visibilità della rete globale di Lumen, Black Lotus Labs ha identificato la mappa logica del servizio proxy Faceless, inclusa una campagna iniziata nella prima settimana di marzo 2024 che ha preso di mira oltre 6.000 router ASUS in meno di 72 ore", avvertono Black Lotus Ricercatori dei laboratori.

I ricercatori non specificano il metodo esatto utilizzato per violare i router ASUS, ma dato che i modelli dei dispositivi presi di mira sono ormai giunti al termine del loro ciclo di vita, è probabile che gli aggressori abbiano sfruttato le vulnerabilità note nel firmware.

Una volta che il malware riesce ad accedere a un dispositivo, verifica la presenza di ambienti shell specifici ("/bin/bash", "/bin/ash" o "/bin/sh"); in caso contrario, interrompe l'esecuzione.

Se viene rilevata una shell compatibile, il caricatore decodifica, elimina ed esegue un payload denominato ".nttpd" che crea un file PID con un numero di versione (26 attualmente).

Successivamente, il malware imposta le regole di iptables per eliminare il traffico TCP in entrata sulle porte 8080 e 80 consentendo al contempo il traffico da intervalli IP specifici.

Questa tattica protegge il dispositivo compromesso da interferenze esterne.

Il malware tenta quindi di contattare un elenco di server NTP legittimi per rilevare ambienti sandbox e verificare la connettività Internet.

Infine, il malware si connette al server di comando e controllo (C2) scorrendo una serie di indirizzi IP codificati e il C2 risponde con le istruzioni.

In alcuni casi, il C2 può istruire il malware a recuperare componenti aggiuntivi, come un modulo worm che scansiona server web vulnerabili sulle porte 80 e 8080 o file ".sox" che inoltrano il traffico sul dispositivo infetto.

Campione Sox che comunica con Faceless C2

Faceless è un servizio proxy per il crimine informatico che instrada il traffico di rete attraverso dispositivi compromessi per i clienti che pagano esclusivamente in criptovalute. Il servizio non utilizza un processo di verifica "conosci il cliente", rendendolo disponibile a chiunque.

Per proteggere la propria infrastruttura dalla mappatura dei ricercatori, gli operatori Faceless assicurano che ogni dispositivo infetto comunichi con un solo server per tutta la durata dell'infezione.

Black Lotus Labs riferisce che un terzo delle infezioni dura più di 50 giorni, mentre il 15% si risolve in meno di 48 ore.

Nonostante la chiara connessione tra TheMoon e Faceless, le due operazioni sembrano essere ecosistemi di criminalità informatica separati, poiché non tutte le infezioni malware diventano parte della botnet proxy Faceless.

Per difenderti da queste botnet, utilizza password amministratore complesse e aggiorna il firmware del tuo dispositivo alla versione più recente che risolve i difetti noti.

Se il dispositivo ha raggiunto l'EoL, sostituiscilo con un modello supportato attivamente.

Segni comuni di infezione da malware su router e IoT includono problemi di connettività, surriscaldamento e modifiche sospette delle impostazioni.