IoT-botnet brugt i YouTube-annoncebedrageri

  • Sep 06, 2023

TheMoons DDoS-dage er for længst forbi. Botnettet er nu et proxy-netværk for andre kriminelle grupper.

Sikkerhedsforskningsteamet hos den amerikanske internetudbyder CenturyLink har opdaget, at et IoT-botnet proxyer trafik til en YouTube-videoannoncesvindelordning.

Sikkerhed

  • 8 vaner hos yderst sikre fjernarbejdere
  • Sådan finder og fjerner du spyware fra din telefon
  • De bedste VPN-tjenester: Hvordan sammenligner top 5?
  • Sådan finder du ud af, om du er involveret i et databrud – og hvad du skal gøre nu

Forskere gjorde denne opdagelse, mens de undersøgte et IoT-botnet kendt som TheMoon, som de oprindeligt begyndte sporing efter at have observeret flere CenturyLink-enheder, der udfører credential brute-force-angreb mod populære websteder.

En undersøgelse af disse enheder afslørede infektioner med TheMoon IoT-malwaren og afslørede senere også eksistensen af ​​et aldrig før set modul designet til at omdanne inficerede routere og IoT-enheder til proxyer for dårlige Trafik.

TheMoon botnet er ikke nyt. Det har eksisteret siden 2014, og dets primære infektionsmetode har været ved at bruge udnyttelser til at få kontrol over sårbare routere og IoT-enheder.

I sine tidlige dage var botnettet primært blevet brugt til DDoS-angreb, men i de senere år er botnettet gået relativt stille. på DDoS-radarer, hvilket fik mange eksperter til at tro, at botnettets operatører havde skiftet botnettet fra en DDoS-kanon til en proxy netværk.

Dette blev bekræftet i begyndelsen af ​​2018, da forskere fra Qihoo 360 Netlab fundet et første proxy-modul. Nu har CenturyLinks forskerhold fundet et anderledes aldrig før set modul, der bekræfter TheMoons udvikling fra DDoS-trussel til et proxy-netværk for andre kriminelle grupper.

Baseret på de nuværende tilgængelige resultater ser TheMoon ud til at fungere som følgende:

  • Botnet-operatører bruger udnyttelser til at inficere routere/IoT-enheder med TheMoon-malwaren
  • TheMoon malware downloader et ekstra proxy-modul
  • Modul åbner en SOCKS5-proxy på inficerede enheder
  • TheMoon-operatørerne lejer adgang til disse proxyer
  • Andre kriminelle famler lejer et stykke af botnettet og sender instruktioner til proxyerne på inficerede enheder om, hvilke URL'er der skal tilgås.

Ifølge CenturyLink er TheMoon botnet i det seneste år blevet brugt til brute-force-angreb, credential stuffing-angreb, til reklamesvindel, generel trafik sløring og mere.

I en rapport udgivet i dag, dykkede CenturyLink-forskere dybt ned i et af de reklamesvindel, de har set udført med TheMoon-inficerede enheder.

Dette var muligt efter at have identificeret 24 kommando-og-kontrol-servere, som TheMoon-bots tilsluttede sig og modtog instruktioner til. Eksperter sagde, at TheMoon-operatørerne efterlod en serviceport udsat online, som udslyngede logdata fra disse C&C-servere, hvilket tillod dem at spionere på deres drift.

"Hver server sendte i gennemsnit syv beskeder i sekundet," sagde CenturyLink Threat Research Labs. "Inden for hver log er der et domæne og en URL, som menes at repræsentere en browsing-anmodning til proxyen. En seks-timers periode fra en enkelt server resulterede i anmodninger til 19.000 unikke URL'er på 2.700 unikke domæner."

"Efter at have gennemset nogle af webadresserne, var det tydeligt, at de alle havde indlejret YouTube-videoer," sagde forsker.

Internetudbyderens konstatering kommer efter, at FBI, Google og 20 teknologiske industripartnere har lukket et kæmpe netværk for reklamesvindel. hedder 3ve sidste efterår.

På en mere sjov sidebemærkning er TheMoon også botnet, der på et tidspunkt inficerede hjemmeroutere ved at lokke almindelige internetbrugere til. på datingsider for voksne. Udnyttelseskode skjult på disse websteder ville kalde til lokale IP-adresser, kendt for at være tildelt hjemmeroutere, og forsøge at inficere routerne med TheMoon-malware, mens brugeren browsede på webstedet.

Sådan opdager og ødelægger du spyware på din smartphone (i billeder)

Mere sikkerhedsdækning:

  • Hackere går efter Cisco RV320/RV325-routere ved hjælp af en ny udnyttelse
  • DOJ flytter for at fjerne Joanap-botnet, der drives af nordkoreanske statshackere
  • Myndigheder lukker xDedic-markedspladsen for at købe hackede servere
  • Den japanske regering planlægger at hacke sig ind i borgernes IoT-enheder
  • DailyMotion afslører legitimationsfyldningsangreb
  • Interneteksperiment går galt, fjerner en masse Linux-routere
  • Californiens guvernør underskriver landets første IoT-sikkerhedslovCNET
  • Hvordan credential stuffing bidrog til 8.3B ondsindede botnet-logins i begyndelsen af ​​2018 TechRepublic