ПОСЛЕДНИЕ НОВОСТИ
$
10
За просмотр новости вы заработаете
10 баллов

Участвуй в работе сайта и зарабатывай!
Узнать подробности и свой рейтинг

Малварь заражает роутеры через сайты знакомств

Червь TheMoon впервые попал на радары экспертов в области информационной безопасности еще в 2014 году.

Малварь заражает роутеры через сайты знакомств
Малварь заражает роутеры через сайты знакомств

 Теперь специалисты компании Damballa обнаружили новую модификацию TheMoon, распространяющуюся через сайты знакомств. Вредонос пользуется слабостями протокола HNAP и поражает домашние роутеры (наиболее уязвимы Linksys и Dlink), делая их частью ботнета.

Новая версия распространяется преимущественно через сайты знакомств на одну ночь. Атака осуществляется в два этапа. За первый этап отвечает вредоносный iframe, интегрированный в код страницы. С его помощью проверяют, использует ли роутер жертвы протокол HNAP, а также задействованы ли адреса 192.168.0.1 и 192.168.1.1 для управления устройством и в качестве шлюзов.

Собрав данные, вредонос переправляет их своему хозяину. Если жертва признается подходящей, атака входит во вторую фазу. В окне iframe загружается еще одна вредоносная ссылка. На этот раз пользователь получает червя TheMoon в виде бинарника Linux ELF.

Если атака прошла успешно, червь не дает жертве пользоваться некоторыми входящими портами роутера, а также открывает ряд исходящих портов для заражения других девайсов.

Специалисты компании Damballa пишут, что наблюдая за червем в течение 2014-2015 годов, они так и не смоли обнаружить никакой C&C инфраструктуры, стоящей за ботнетом. Судя по всему, авторы вредоноса наращивают мощность и размеры сети, но для фактических атак ее пока не применяют.

При этом ботнет и вредонос не выглядят заброшенными. Теорию специалистов подтверждает тот факт, что в конце 2015 года схема атаки немного изменилась. Злоумышленники отключили вторую фазу атаки: вредоносный URL убрали из iframe, а сам червь был удален с сервера хакеров.

Опасный сайт
Опасный сайт

Эксперты отмечают, что такой способ распространения червя – это нечто новое. Хакеры уже не сканируют сеть в поисках уязвимых роутеров, но заманивают жертв на вредоносные сайты. Специалистам Damballa  удалось отследить хозяина одного из опасных сайтов знакомств. Дальнейшее расследование показало, что этому же человеку принадлежат и четыре других вредоносных ресурса. Однако эксперты сомневаются, что этот человек имеет какое-то отношение к строящемуся ботнету. Скорее он пострадал от кражи личности, и домены были зарегистрированы на его имя нелегально.

По данным Damballa, новая версия TheMoon пока не распознается ни одним антивирусом.

Понравилась статья? Поделитесь!

Источник

Комментарии (2)

вот засранцы

когда это кончится ?

Добавить комментарий

Filtered HTML

  • Разрешённые HTML-теги: <em> <strong> <cite> <blockquote> <ul> <ol> <li> <dl> <dt> <dd> <br> <br />
  • Строки и параграфы переносятся автоматически.
  • Search Engines will index and follow ONLY links to allowed domains.

Plain text

  • HTML-теги не обрабатываются и показываются как обычный текст
  • Адреса страниц и электронной почты автоматически преобразуются в ссылки. Ссылки на сторонние не рекламные источники необходимо вставлять в виде http://orskportal.ru/outlink/адрес...
  • Строки и параграфы переносятся автоматически.
7 + 10 =
Введите ответ в пустое поле. Например для 1+3 введите 4.