По крайней мере пять сайтов знакомств подверглись атаке злоумышленников: попавшиеся на удочку преступников пользователи заражают систему червем, поселяющимся в маршрутизаторе. Инфицированные устройства затем становятся частью ботнета.

Зловред является вариантом червя TheMoon, о котором стало известно в феврале 2014 года. Вредоносная программа просачивается сквозь слабую защиту протокола HNAP (Home Network Administration Protocol). На момент обнаружения зловреда атаке были подвержены различные модели маршрутизаторов Linksys (Belkin) и D-Link.

Скорее всего, жертв заманивают на вредоносный сайт при помощи проверенных способов: фишинга, вредоносной рекламы или эксплойт-паков.

Заражение начинается с вредоносного “плавающего фрейма”, внедренного на веб-странице. Во время первой фазы он вызывает различные URL-ссылки, чтобы определить, используется ли HNAP маршрутизатором. Также для дальнейших действий фрейм должен определить, используются ли IP-адреса 192.168.0.1 и 192.168.1.1 для управления маршрутизатором и в качестве шлюзов. Доложив хозяевам обстановку, он начинает вторую фазу инфекции: загружает вторую URL-ссылку и доставляет самого червя — бинарник формата ELF для Linux.

Подвергшиеся атаке пользователи не могут использовать некоторые входящие порты маршрутизатора, а через исходящие порты инфекция распространяется на другие маршрутизаторы.

Ранее, когда зловред был впервые обнаружен, исследователи так и не смогли выйти на C&C-инфраструктуру червя, вплоть до конца 2015 года. Из этого следует, что разрастающийся ботнет находится в своей ранней стадии или проходит тестирование. В связи с этим возникает вероятность, что злоумышленники могут воспользоваться инфраструктурой позже. В пользу этого вывода говорит тот факт, что в конце года вредоносный бинарный файл исчез с серверов загрузки, а “плавающий фрейм” был деактивирован.

По сведениям компании Damballa, антивирусы пока не детектируют TheMoon. Отследив владельца вредоносных сайтов знакомств, исследователи выяснили, что он владеет несколькими подобными ресурсами, но вряд ли сам является злоумышленником, стоящим за атакой, — скорее всего, его личность была похищена киберпреступниками и использована для регистрации доменов.

Категории: Вредоносные программы