Uma equipa da Black Lotus Labs descobriu uma nova campanha de distribuição de malware que envolve uma versão actualizada da ‘The Moon’, uma família de malware descoberta há 10 anos concebida para atacar routers Linksys. A variante mais recente deste malware foi alterada para conseguir infectar mais routers domésticos e também dispositivos IoT, que depois são transformados em proxies para encaminhar tráfego através de um serviço chamado Faceless.
De acordo com a Black Lotus, a botnet ‘ The Moon’ tem estado a funcionar de uma forma discreta e já conseguiu infectar mais de 40000 dispositivos em 88 países nos primeiros dois meses de 2024. Na primeira semana de Março, foi iniciada uma nova campanha que se focou na infecção de routers da Asus e em menos de 72 horas o malware já estava presente em mais de 6000 dispositivos.
A Black Lotus não forneceu muitos pormenores sobre os métodos empregues para infectar os routers. Mas o mais provável é estarem a ser exploradas vulnerabilidades conhecidas em dispositivos antigos para os transformar em bots para gerarem tráfego usado em ataques. Assim que um router é infectado pelo The Moon procura uma forma de instalar e executar o seu código.
Quando um dispositivo é infectado, o malware bloqueia momentaneamente o tráfego TCP nas portas 8080 e 80, mas permite a entrada de pacotes com origem em gamas específicas de endereços IP. Depois de verificar a ligação à Internet, o ‘The Moon’ tenta ligar-se a um servidor de comando e controlo para receber instruções dos cibercriminosos.
De seguida, o malware descarrega e instala mais componentes que incluem um módulo que funciona como um worm que é capaz de procurar servidores HTTP vulneráveis e também de descarregar ficheiros com a extensão .sox que servem para transformar o dispositivo infectado num proxy. A maioria dos routers Asus que foram infectados por esta variante do The Moon, foram mapeados como bots que pertencem ao Faceless, um serviço de proxy usado por organizações ligadas à distribuição de malware como a IcedID e SolarMarker.
Os cibercriminosos podem usar o Faceless para esconder tráfego malicioso e pagam o serviço com criptomoeda. A Black Lotus diz que um terço das infecções dura mais de 50 dias e 15% dos dispositivos infectados ficam offline em 2 dias. A The Moon e o Faceless parecem ser duas operações distintas, mas têm o mesmo objectivo de transformar vulnerabilidades de segurança em oportunidades de negócio.
De acordo com a Black Lotus, a melhor forma de protecção contra estes tipos de ameaças de segurança é a utilização de passwords fortes e manter o firmware dos dispositivos actualizado para a versão mais recente que estiver disponível. No caso dos routers antigos da Asus, a única forma de protecção é substituí-los por modelos mais recentes.