Nouvelle déclinaison de "La lune" un malware asservit des milliers de routeurs Asus non sécurisés à un proxy malveillant

New variant of TheMoon malware enslaves thousands of insecure Asus routers into a malicious proxy

Insécurité sur Internet : La cybercriminalité moderne utilise des stratégies similaires à celles des services cloud ou à distance, avec des partenariats commerciaux entre différentes équipes cherchant à atteindre le même objectif. La dernière opération criminelle est conçue pour compromettre les routeurs et les transformer en robots proxy.

Les chercheurs des Black Lotus Labs ont découvert une nouvelle campagne malveillante impliquant une version mise à jour de « TheMoon », une famille de logiciels malveillants identifiée pour la première fois il y a dix ans. La dernière déclinaison de TheMoon a apparemment été conçue pour compromettre les routeurs domestiques non sécurisés et autres appareils IoT, qui sont ensuite exploités pour acheminer le trafic criminel via un service proxy « commercial » connu sous le nom de Faceless.

Le botnet TheMoon a fonctionné « silencieusement » tout en compromettant plus de 40 000 appareils provenant de 88 pays différents au cours des deux premiers mois de 2024, expliquent les analystes de Black Lotus. Une nouvelle campagne a débuté la première semaine de mars et elle était apparemment axée sur la compromission des routeurs Asus. En moins de 72 heures, le malware a infecté plus de 6 000 appareils réseau.

Black Lotus ne fournit pas de détails sur les méthodes utilisées par le malware pour infecter les routeurs. Les criminels exploitent probablement des vulnérabilités connues pour transformer les appareils en fin de vie en robots malveillants. Une fois qu’un routeur a été compromis, TheMoon recherche des environnements shell spécifiques pour exécuter sa principale charge utile malveillante.

Nouvelle declinaison de quotLa lunequot un malware asservit des milliers

La charge utile est conçue pour abandonner régulièrement le trafic TCP entrant sur les ports 8080 et 80, tout en autorisant les paquets provenant de plages IP spécifiques. Après avoir vérifié les environnements sandbox (via le trafic NTP) et vérifié une connexion Internet, TheMoon tente de se connecter au centre de commande et de contrôle et demande des instructions aux cybercriminels.

Le malware peut ensuite télécharger des composants malveillants supplémentaires, notamment un module de type ver capable de rechercher les serveurs HTTP vulnérables, ainsi que de télécharger des fichiers .sox qui permettent à l’appareil compromis d’agir comme un proxy. La plupart des routeurs Asus infectés par la dernière déclinaison de TheMoon ont été cartographiés comme des robots appartenant à Faceless, un service proxy connu utilisé par des opérations malveillantes telles que IcedID et SolarMarker.

Les cybercriminels peuvent utiliser Faceless pour masquer leur trafic malveillant, en payant le service en crypto. Les chercheurs de Black Lotus affirment qu’un tiers des infections durent plus de 50 jours, tandis que 15 % d’entre elles se déconnectent en quelques jours. TheMoon et Faceless semblent être deux opérations criminelles complètement différentes, même si elles ont désormais un intérêt commun à transformer les failles de sécurité en opportunité commerciale.

Black Lotus affirme que les utilisateurs peuvent se défendre contre les menaces IoT en utilisant des mots de passe forts et en mettant à niveau le firmware de leur périphérique réseau vers la dernière version disponible. Les routeurs en fin de vie comme ceux d’Asus ciblés par TheMoon devraient cependant être remplacés par des modèles plus récents et toujours pris en charge.

Détente, découvrez l’évolution du nombre de smartphones vendus par marque au fil du temps dans la vidéo ci-dessous :

YouTube video