Una recente variante del malware noto come TheMoon sta attirando l’attenzione degli esperti di sicurezza informatica per la sua capacità di infettare migliaia di router destinati a piccoli uffici e ambienti domestici (SOHO) e dispositivi IoT (Internet of Things) non aggiornati.

TheMoon è collegato al servizio proxy Faceless che, per l’appunto, sfrutta alcuni dei dispositivi infetti come proxy per instradare il traffico dei cyber criminali desiderosi di anonimizzare le loro attività malevole.

Gli analisti di Black Lotus Labs di Lumen, tenendo sotto osservazione la campagna più recente di TheMoon, iniziata nei primi giorni di marzo 2024, hanno rilevato che ben 6.000 router ASUS sono stati presi di mira in meno di 72 ore in 88 paesi.

Inoltre, gli esperti di sicurezza hanno osservato che operazioni di malware come IcedID e SolarMarker stanno attualmente utilizzando la botnet per nascondere la loro attività online.

I router ASUS nel mirino di TheMoon

TheMoon è stato individuato per la prima volta nel 2014, quando fu segnalato che il malware sfruttava vulnerabilità per infettare dispositivi LinkSys. L’ultima campagna del malware ha visto oltre 6.000 dispositivi infettati in una settimana, con Black Lotus Labs che indica i router ASUS come principale bersaglio.

Attraverso la visibilità della rete globale di Lumen, Black Lotus Labs è riuscita a identificare la mappa logica del servizio proxy Faceless, includendo una campagna iniziata nella prima settimana di marzo 2024 che ha preso di mira oltre 6.000 router ASUS in meno di 72 ore.

Gli analisti non hanno specificato il metodo esatto utilizzato per compromettere i router ASUS, ma dato che i modelli di dispositivi bersaglio sono fuori produzione, è probabile che gli attaccanti abbiano sfruttato vulnerabilità note e non corrette nel firmware.

Una volta che il malware ottiene l’accesso a un dispositivo, verifica la presenza di specifici ambienti shell; se non li trova, interrompe l’esecuzione. Se invece rileva un ambiente compatibile, il loader decifra, trasferisce ed esegue un payload chiamato “.nttpd”, che crea un file PID con un numero di versione (attualmente il 26).

Il malware, poi, imposta regole iptables per bloccare il traffico TCP in entrata sulle porte 8080 e 80, permettendo il traffico solo da specifici intervalli di IP. Questa tattica protegge il dispositivo compromesso da interferenze esterne.

Cos’è il servizio proxy Faceless

Faceless è un servizio proxy usato dal cybercrime che instrada il traffico di rete attraverso dispositivi compromessi per clienti che pagano esclusivamente in criptovalute. Il servizio non utilizza un processo di verifica dell’identità del cliente, rendendolo disponibile a chiunque.

Per proteggere la propria infrastruttura dall’essere mappata dai ricercatori, gli operatori di Faceless si assicurano che ogni dispositivo infetto comunichi con un solo server per tutta la durata dell’infezione.

Black Lotus Labs riporta che un terzo delle infezioni dura oltre 50 giorni, mentre il 15% viene perso in meno di 48 ore, indicando che questi ultimi sono meglio monitorati e il compromesso viene rilevato rapidamente.

Nonostante la chiara connessione tra TheMoon e Faceless, le due operazioni sembrano essere ecosistemi criminali separati, poiché non tutte le infezioni di malware diventano parte della botnet.

Come difendersi da TheMoon e da malware simili

Per difendersi da queste botnet è consigliabile utilizzare password amministrative forti e aggiornare il firmware del dispositivo all’ultima versione che risolve le vulnerabilità note.

Se il dispositivo ha raggiunto la fine del suo ciclo di vita (EoL), sarebbe opportuno sostituirlo con un modello supportato attivamente.

Ricordiamo, infine, che segni comuni di infezione da malware su router e dispositivi IoT includono problemi di connettività, surriscaldamento e modifiche sospette nelle impostazioni.