"TheMoon" ahora ofrecido como Botnet-as-a-Service

botnet

TheMoon, una botnet de IoT dirigida a routers y módems domésticos, está iniciando una nueva fase, por así decirlo: ha agregado un módulo que le permite ser vendido como un servicio.

Identificado originalmente en 2014; explota vulnerabilidades en los módems o routers de banda ancha desarrollados por compañías como Linksys, ASUS, MikroTik y D-Link, con el exploit más reciente agregado en mayo pasado dirigido a los routers GPON. Se propaga como un gusano y se ha visto incorporando hasta seis exploits de IoT.

Con intenciones maliciosas de expandir aún más la botnet, se espera que los operadores escaneen y busquen constantemente los servicios explotables que se ejecutan en los dispositivos de IoT. La botnet ataca las aplicaciones IoT que funcionan en el puerto 8080 y al detectar con éxito un dispositivo vulnerable, la botnet está programada para cargar un script de shell que, una vez ejecutado, descarga las fases iniciales de la carga útil.

Investigadores de seguridad en CenturyLink han detectado que el módulo reciente difiere del módulo anterior en la forma en que convierte el dispositivo seleccionado en un proxy SOCKS5 y permite al operador de la red de bots ofrecer su servicio de red proxy a otras personas.

Los investigadores descubrieron además que cuando se conectan al puerto TCP 8002, la persona que navega recibe automáticamente un flujo de mensajes de registro en asociación con un fraude de publicidad.

Con referencia a los resultados del informe CenturyLink

"Lo que vimos durante este período de seis horas en particular fue que un operador aprovechó TheMoon para llevar a cabo el fraude de anuncios de video, lo que básicamente hace parecer que miles de personas estaban haciendo clic en los anuncios de video", dijo CenturyLink a Threatpost. "Específicamente, el operador usó un solo servidor para impactar 19,000 URL únicas en 2,700 dominios únicos en ese corto tiempo".

themoon

"La naturaleza siempre activa de los dispositivos de IoT y la capacidad de enmascararse como usuarios domésticos normales hacen que las redes de banda ancha sean los objetivos principales para este tipo de ataques"

CenturyLink, como proveedor de comunicaciones, bloqueó la infraestructura de TheMoon en su red de ISP, además de notificar a otros propietarios de redes de dispositivos potencialmente infectados, por lo que la actividad de TheMoon se redujo.

Registrate en el foro, síguenos en FacebookTwitterunete a nuestro chat en Discord y no olvides compartirnos en las redes sociales. También puede hacernos una donación o comprar nuestros servicios.

Etiquetas

Acerca del autor

Fredy Yesid Avila - Ingeniero de Sistemas, CEH - ECSA.

@fredyavila