La botnet TheMoon resurge de sus cenizas con una nueva variante. Una versión actualizada de esta familia de malware, con más de una década de historia, ha sido diseñada para comprometer enrutadores domésticos y otros dispositivos IoT EoL. Posteriormente, son explotados para enrutar el tráfico criminal mediante Faceless, un servicio de proxy criminal. Ahora, ha conseguido comprometer a más de 40.000 dispositivos de hasta 88 países durante los dos primeros meses de 2024.

La investigación, efectuada por un equipo multidisciplinar de Black Lotus Labs, ha concluido a su vez que esta estrategia, pensada para comprometer los enrutadores y convertirlos en robots proxy, logró en menos de 72 horas infectar a más de 6.000 dispositivos de red. Los enrutadores Asus han sido los principales damnificados.

Un nuevo caso que pone en entredicho la vulnerabilidad de la red y el elevado nivel de perfeccionamiento del cibercrimen moderno, que se sirve de estrategias cloud o servicios remotos, además de otras asociaciones comerciales, para alcanzar objetivos maliciosos. Por menos de un dólar al día, brinda sus servicios de anonimato a otros actores de amenazas.

Las claves de TheMoon

En su gran mayoría, el objetivo de estos bots no es otro que extraer datos sensibles y contraseñas, especialmente del sector financiero, estando el 80% de los hosts infectados en EEUU. De hecho, esta infraestructura es empleada por operadores de malware como IcedID o SolarMarker.

Los ataques de TheMoon consisten en soltar un cargador responsable de obtener un ejecutable ELF desde un servidor C2. Aquí va incluido otro módulo que se propaga a servidores vulnerables, así como un archivo adicional llamado ‘.sox’. Éste se emplea para enviar el tráfico desde el bot a Internet en nombre del propio usuario.

De igual modo, el malware se encarga de configurar reglas de iptables para descartar todo el tráfico TCP entrante en los puertos 8080 y 80, permitiendo el tráfico desde tres rangos de IP diferentes. A esto se le suma el contacto directo con un servidor NTP de una lista de servidores NTP legítimos. Solo así se determinará si el dispositivo infectado posee conectividad a Internet y no se ejecuta en una zona de pruebas.

Al trabajar contra dispositivos EoL, TheMoon consigue no encontrar un objetivo sencillo, pues ya no cuentan con el soporte del fabricante y son plenamente susceptibles a vulnerabilidades de seguridad. También pueden ser infiltrados por ataques de fuerza bruta. Es una operación que actúa contra dispositivos que no están administrados ni actualizados.

En este sentido, John Gallagher, vicepresidente de Viakoo Labs, asegura que los EoL están diseñados para ser configurados inicialmente y caer en el olvido. Algo que pone en jaque a las empresas más que a los consumidores, pues los operadores de dispositivos IoT suelen ser más costosos y poseen un incentivo para no reemplazar los equipos, siempre y cuando no funcionasen. Por ello, las empresas cuentan con amplias flotas de dispositivos IoT para que los actores de amenazas los aprovechen para DDoS y otros vectores de ataque.

Ahora las organizaciones se centran en la mitigación de bots, aunque tal vez el problema radique en una evolución ascendente que exija eliminar los bots maliciosos de los dispositivos.

Asimismo, más del 30% de las infecciones se han prolongado durante más de 50 días, mientras que el 15% de los dispositivos han formado parte de la red durante 48 horas o menos.

Todo ello permite extraer como conclusión que TheMoon es el único proveedor de bots para Faceless. Éste surgió del servicio de anonimato iSocks, convirtiéndose en una herramienta fundamental para que los ciberdelincuentes manipulen todo tipo de actividad.

La evolución reciente de TheMoon

Esta actividad maliciosa renaciente fue observada por el equipo de trabajo a finales de 2023. En aquel momento, se hizo para violar los enrutadores EoL SOHO y los dispositivos IoT, implementando a su vez una versión actualizada de TheMoon e inscribiendo la botnet en Faceless.

Black Lotus Labs describió al malware TheMoon por primera vez en 2019, hablando por aquel entonces de una nueva fase. No obstante, ha sido recientemente cuando sus investigadores han descubierto una nueva campaña del servicio de proxy criminal Faceless.

Paralelamente, en febrero de 2024, Thomas Siu, director de seguridad de la información de Inversión6, aseguró que el FBI detectó la interrupción de los ataques APT28 a los enrutadores Ubiquiti, siendo su proceso muy similar a TheMoon. No obstante, los productos Ubiquiti EdgeRouter no estaban técnicamente en el EoL. Al ser cooptados para uso como botnet como sensores basados en Linux, pudieron recopilar credenciales de usuario y tráfico de red proxy, ocultando todo tipo de comandos y señales.

En resumen, es importante que tanto los usuarios como las pequeñas empresas sean capaces de evaluar la solidez de sus sistemas red, analizando si sus enrutadores poseen más de tres años, ya que correrán un mayor riesgo de sufrir vulnerabilidades, como la nueva variante de la botnet TheMoon.

 

Deja un comentario

Por favor, introduce tu comentario
Por favor, introduce tu nombre