Посетители по крайней мере пяти сайтов знакомств подверглись атаке, в ходе которой злоумышленники распространяют вариант червя TheMoon. Вредонос инфицирует маршрутизатор, после чего зараженное устройство становится частью ботнета, сообщают эксперты компании Damballa. Как удалось выяснить специалистам, владельцем всех пяти ресурсов является один и тот же человек.
О черве TheMoon стало известно в феврале 2014 г. Вредоносное ПО проникает сквозь защиту путем эксплуатации уязвимостей в протоколе HNAP (Home Network Administration Protocol). Главной особенностью червя является его способность самостоятельно распространяться. По всей вероятности, злоумышленники заманивают жертв при помощи проверенных методов: фишинга, набора эксплоитов или вредоносной рекламы. На каждом вредоносном сайте инфицирование проходит в два этапа. Заражение начинается с вредоносного “плавающего фрейма”, внедренного в web-страницу.
На первом этапе фрейм вызывает различные URL-ссылки с целью определить, использует ли маршрутизатор протокол HNAP. Затем фрейм выясняет наличие IP-адресов 192.168.0.1 и 192.168.1.1 для управления маршрутизатором и в качестве шлюзов. На втором этапе фрейм загружает вторую URL-ссылку и самого червя. Жертвы атаки не могут использовать некоторые входящие порты маршрутизатора, а через исходящие порты осуществляется инфицирование других устройств.
На момент обнаружения оригинальной версии TheMoon исследователи не смогли определить наличие связи с каким-либо C&C-сервером, хотя в исходном коде вредоноса присутствовал соответствующий функционал. По состоянию на конец 2015 г. C&C-инфраструктура также не была выявлена. Как считают эксперты Damballa, разрастающийся ботнет находится на ранней стадии или проходит тестирование. (Damballa/NovostIT)