Inseguridad en Internet: El cibercrimen moderno emplea estrategias similares a la nube o los servicios remotos, con asociaciones comerciales entre diferentes equipos que buscan lograr el mismo objetivo. La última operación de crimeware está diseñada para comprometer los enrutadores y convertirlos en robots proxy.
Los investigadores de Black Lotus Labs descubrieron una nueva campaña maliciosa que involucra una versión actualizada de «TheMoon», una familia de malware identificada por primera vez hace diez años. La última variante de TheMoon aparentemente ha sido diseñada para comprometer enrutadores inseguros de pequeñas oficinas/oficinas domésticas (SOHO) y otros dispositivos IoT, que luego se explotan para enrutar el tráfico criminal a través de un servicio proxy «comercial» conocido como Faceless.
La botnet TheMoon ha estado funcionando «silenciosamente» comprometiendo más de 40.000 dispositivos de 88 países diferentes en los dos primeros meses del año, según los analistas de Black Lotus. explicar. La nueva campaña comenzó en la primera semana de marzo de 2024 y aparentemente se centró principalmente en comprometer los enrutadores Asus. En menos de 72 horas, el malware había infectado más de 6.000 dispositivos de red fabricados por la empresa de hardware taiwanesa.
Black Lotus no proporciona detalles sobre los métodos utilizados por el malware para infectar enrutadores. Es probable que los delincuentes estén explotando vulnerabilidades conocidas para convertir los dispositivos al final de su vida útil en bots maliciosos. Una vez que un enrutador se ha visto comprometido, TheMoon busca entornos de shell específicos para ejecutar su principal carga maliciosa.
La carga útil está diseñada para descartar de forma rutinaria el tráfico TCP entrante en los puertos 8080 y 80, al tiempo que permite paquetes de rangos de IP específicos. Después de buscar entornos sandbox (a través de tráfico NTP) y verificar una conexión a Internet, TheMoon intenta conectarse al centro de comando y control y solicitar instrucciones a los ciberdelincuentes.
Luego, el malware puede descargar componentes maliciosos adicionales, incluido un módulo similar a un gusano capaz de escanear en busca de servidores HTTP vulnerables, así como descargar archivos .sox que permiten que el dispositivo comprometido actúe como un proxy. La mayoría de los enrutadores Asus infectados por la última variante de TheMoon han sido mapeados como bots pertenecientes a Faceless, un conocido servicio proxy utilizado por operaciones de malware como IcedID y SolarMarker.
Los ciberdelincuentes pueden emplear Faceless para ofuscar su tráfico malicioso, pagando en criptomonedas por el servicio. Los investigadores de Black Lotus dicen que un tercio de las infecciones duran más de 50 días, mientras que el 15 por ciento de ellas se desconectan en un par de días. TheMoon y Faceless parecen ser dos operaciones criminales completamente diferentes, aunque ahora tienen un interés común en convertir las vulnerabilidades de seguridad en una oportunidad de negocio.
Black Lotus dice que los usuarios pueden defenderse de las amenazas de IoT utilizando contraseñas seguras y actualizando el firmware de su dispositivo de red a la última versión disponible. Sin embargo, los enrutadores al final de su vida útil, como los de Asus a los que apunta TheMoon, deberían reemplazarse por modelos más nuevos y aún compatibles.
