Червь TheMoon атакует посетителей сайтов знакомств


DamballaИсследователям безопасности из компании Damballa удалось установить, что посетители, по крайней мере пяти сайтов знакомств, подверглись кибератаке. В рамках данной вредоносносной кампании злоумышленники распространяли вариант червя TheMoon. Вредоносное ПО инфицирует маршрутизатор, делая зараженное устройство частью ботнета. При этом установлено, что владельцем всех пяти ресурсов является один и тот же человек.

Напомним, что о черве TheMoon известно еще с февраля 2014 года. Данное вредоносное ПО проникает сквозь защиту путем эксплуатации уязвимостей в протоколе HNAP (Home Network Administration Protocol). А его главная особенность - способность самостоятельно распространяться.

Эксперты считают, что злоумышленники заманивают жертв при помощи фишинга, набора эксплоитов или вредоносной рекламы. Установлено, что на каждом вредоносном сайте инфицирование проходило в два этапа. Заражение начиналось с вредоносного "плавающего фрейма", внедренного в web-страницу.

На первом этапе фрейм вызывает различные URL-ссылки определяя, использует ли маршрутизатор протокол HNAP. После этого фрейм выясняет наличие IP-адресов 192.168.0.1 и 192.168.1.1 для управления маршрутизатором и в качестве шлюзов.

На втором этапе фрейм загружает вторую URL-ссылку и самого червя. При этом жертвы атаки не могут использовать некоторые входящие порты маршрутизатора, а через исходящие порты осуществляется инфицирование других устройств.

На момент обнаружения оригинальной версии TheMoon исследователи не смогли определить наличие связи с каким-либо C&C-сервером. Хотя в исходном коде вредоноса присутствовал соответствующий функционал. По состоянию на конец 2015 года C&C-инфраструктура также не была выявлена. По мнению экспертов, разрастающийся ботнет либо находится на ранней стадии, либо проходит тестирование.


Обновлено (26.01.2016 00:03)