29 de marzo de 2024Sala de prensaSeguridad de red/Seguridad de IoT Se ha observado que una botnet que anteriormente se consideraba inerte esclaviza enrutadores de hogares y oficinas pequeñas (SOHO) y dispositivos de IoT al final de su vida útil (EoL) para alimentar un servicio de proxy criminal llamado Sin rostro. «TheMoon, que surgió en 2014, ha estado funcionando silenciosamente mientras crecía hasta alcanzar más de 40.000 bots de 88 países en enero y febrero de 2024», dijo el equipo de Black Lotus Labs en Lumen Technologies. Faceless, detallado por el periodista de seguridad Brian Krebs en abril de 2023, es un servicio de proxy residencial malicioso que ofrece sus servicios de anonimato a otros actores de amenazas por una tarifa insignificante que cuesta menos de un dólar por día. Al hacerlo, permite a los clientes dirigir su tráfico malicioso a través de decenas de miles de sistemas comprometidos anunciados en el servicio, ocultando efectivamente sus verdaderos orígenes. Se ha evaluado que la infraestructura respaldada por Faceless es utilizada por operadores de malware como SolarMarker e IcedID para conectarse a sus servidores de comando y control (C2) para ofuscar sus direcciones IP. Dicho esto, la mayoría de los bots se utilizan para la pulverización de contraseñas y/o la filtración de datos, principalmente dirigidos al sector financiero, con más del 80% de los hosts infectados ubicados en los EE. UU. Lumen dijo que observó por primera vez la actividad maliciosa a finales de 2023. , el objetivo es violar los enrutadores EoL SOHO y los dispositivos IoT e implementar una versión actualizada de TheMoon y, en última instancia, inscribir la botnet en Faceless. Los ataques implican soltar un cargador que es responsable de obtener un ejecutable ELF desde un servidor C2. Esto incluye un módulo de gusano que se propaga a otros servidores vulnerables y otro archivo llamado «.sox» que se utiliza para enviar el tráfico desde el bot a Internet en nombre de un usuario. Además, el malware configura reglas de iptables para descartar el tráfico TCP entrante en los puertos 8080 y 80 y permitir el tráfico desde tres rangos de IP diferentes. También intenta ponerse en contacto con un servidor NTP de una lista de servidores NTP legítimos en un probable esfuerzo por determinar si el dispositivo infectado tiene conectividad a Internet y no se está ejecutando en una zona de pruebas. El objetivo de fabricar la botnet contra dispositivos EoL no es una coincidencia, ya que ya no cuentan con el soporte del fabricante y se vuelven susceptibles a vulnerabilidades de seguridad con el tiempo. También es posible que los dispositivos sean infiltrados mediante ataques de fuerza bruta. Un análisis adicional de la red proxy ha revelado que más del 30% de las infecciones duraron más de 50 días, mientras que alrededor del 15% de los dispositivos formaron parte de la red durante 48 horas o menos. «Faceless se ha convertido en un formidable servicio proxy que surgió de las cenizas del servicio de anonimato ‘iSocks’ y se ha convertido en una herramienta integral para que los ciberdelincuentes confundan su actividad», dijo la compañía. «TheMoon es el principal, si no el único, proveedor de bots para el servicio de proxy Faceless». ¿Encontró interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.

Source link