Новый вариант червя TheMoon атакует посетителей сайтов знакомств

Посетители по крайней мере пяти сайтов знакомств подверглись атаке, в ходе которой злоумышленники распространяют вариант червя TheMoon. Вредонос инфицирует маршрутизатор, после чего зараженное устройство становится частью ботнета, сообщают эксперты компании Damballa. Как удалось выяснить специалистам, владельцем всех пяти ресурсов является один и тот же человек.

О черве TheMoon стало известно в феврале 2014 года. Вредоносное ПО проникает сквозь защиту путем эксплуатации уязвимостей в протоколе HNAP (Home Network Administration Protocol). Главной особенностью червя является его способность самостоятельно распространяться.

По всей вероятности, злоумышленники заманивают жертв при помощи проверенных методов: фишинга, набора эксплоитов или вредоносной рекламы. На каждом вредоносном сайте инфицирование проходит в два этапа. Заражение начинается с вредоносного «плавающего фрейма», внедренного в web-страницу.

На первом этапе фрейм вызывает различные URL-ссылки с целью определить, использует ли маршрутизатор протокол HNAP. Затем фрейм выясняет наличие IP-адресов 192.168.0.1 и 192.168.1.1 для управления маршрутизатором и в качестве шлюзов.

На втором этапе фрейм загружает вторую URL-ссылку и самого червя. Жертвы атаки не могут использовать некоторые входящие порты маршрутизатора, а через исходящие порты осуществляется инфицирование других устройств.

На момент обнаружения оригинальной версии TheMoon исследователи не смогли определить наличие связи с каким-либо C&C-сервером, хотя в исходном коде вредоноса присутствовал соответствующий функционал. По состоянию на конец 2015 года C&C-инфраструктура также не была выявлена. Как считают эксперты Damballa, разрастающийся ботнет находится на ранней стадии или проходит тестирование.

Источник: securitylab.ru

Реклама
Запись опубликована в рубрике Report. Добавьте в закладки постоянную ссылку.

Добавить комментарий

Заполните поля или щелкните по значку, чтобы оставить свой комментарий:

Логотип WordPress.com

Для комментария используется ваша учётная запись WordPress.com. Выход / Изменить )

Фотография Twitter

Для комментария используется ваша учётная запись Twitter. Выход / Изменить )

Фотография Facebook

Для комментария используется ваша учётная запись Facebook. Выход / Изменить )

Google+ photo

Для комментария используется ваша учётная запись Google+. Выход / Изменить )

Connecting to %s