I ricercatori dei Black Lotus Labs di Lumen Technologies hanno rilevato una nuova campagna malware che sfrutta TheMoon. Quest’ultimo è stato installato su oltre 6.000 router ASUS nella prima settimana di marzo. I dispositivi sono stati quindi collegati al servizio proxy Faceless usato dai cybercriminali per nascondere la provenienza del traffico di rete.
Router ASUS usati come nodi proxy
TheMoon è stato scoperto per la prima volta nel 2014, quando ha sfruttato le vulnerabilità dei dispositivi Linksys. La nuova versione del malware è stata usata per infettare oltre 40.000 dispositivi di rete in 88 paesi tra gennaio e febbraio 2024. Nella prima settimana di marzo è stato installato su oltre 6.000 router ASUS per collegarli al servizio proxy Faceless.
I ricercatori non hanno specificato il metodo usato per infettare i router, ma quasi certamente sono state sfruttate le vulnerabilità nel firmware dei modelli più vecchi oppure sono state scoperte le password di amministratore tramite un attacco brute force.
Dopo aver ottenuto l’accesso, il malware verifica la presenza di tre shell (/bin/bash, /bin/ash o /bin/sh). Se trovate, il loader installa ed esegue il payload .nttpd che crea un file PID con numero 26. Successivamente vengono impostate cinque regole iptables, due per bloccare il traffico TCP in entrata sulle porte 80/8080 e tre per accettare il traffico in entrata da altrettanti indirizzi IP.
Il malware contatta quindi il server C2 (command and control), dal quale vengono scaricati i file che servono per trasformare i router in proxy usati da Faceless, un servizio offerto a pagamento ai cybercriminali. Per rimuovere TheMoon è sufficiente riavviare il router. Gli utenti dovrebbero ovviamente installare i firmware più recenti. Le aziende dovrebbero invece sostituire i router più vecchi se non possono essere aggiornati.