Червь TheMoon впервые попал на радары экспертов в области информационной безопасности еще в 2014 году. Теперь специалисты компании Damballa обнаружили новую модификацию TheMoon, распространяющуюся через сайты знакомств. Вредонос пользуется слабостями протокола HNAP и поражает домашние роутеры (наиболее уязвимы Linksys и Dlink), делая их частью ботнета.
Новая версия распространяется преимущественно через сайты знакомств на одну ночь. Атака осуществляется в два этапа. За первый этап отвечает вредоносный iframe, интегрированный в код страницы. С его помощью проверяют, использует ли роутер жертвы протокол HNAP, а также задействованы ли адреса 192.168.0.1 и 192.168.1.1 для управления устройством и в качестве шлюзов.
Собрав данные, вредонос переправляет их своему хозяину. Если жертва признается подходящей, атака входит во вторую фазу. В окне iframe загружается еще одна вредоносная ссылка. На этот раз пользователь получает червя TheMoon в виде бинарника Linux ELF.
Если атака прошла успешно, червь не дает жертве пользоваться некоторыми входящими портами роутера, а также открывает ряд исходящих портов для заражения других девайсов.
Специалисты компании Damballa пишут, что наблюдая за червем в течение 2014-2015 годов, они так и не смоли обнаружить никакой C&C инфраструктуры, стоящей за ботнетом. Судя по всему, авторы вредоноса наращивают мощность и размеры сети, но для фактических атак ее пока не применяют.
При этом ботнет и вредонос не выглядят заброшенными. Теорию специалистов подтверждает тот факт, что в конце 2015 года схема атаки немного изменилась. Злоумышленники отключили вторую фазу атаки: вредоносный URL убрали из iframe, а сам червь был удален с сервера хакеров.
Эксперты отмечают, что такой способ распространения червя – это нечто новое. Хакеры уже не сканируют сеть в поисках уязвимых роутеров, но заманивают жертв на вредоносные сайты. Специалистам Damballa удалось отследить хозяина одного из опасных сайтов знакомств. Дальнейшее расследование показало, что этому же человеку принадлежат и четыре других вредоносных ресурса. Однако эксперты сомневаются, что этот человек имеет какое-то отношение к строящемуся ботнету. Скорее он пострадал от кражи личности, и домены были зарегистрированы на его имя нелегально.
По данным Damballa, новая версия TheMoon пока не распознается ни одним антивирусом.