TheMoon Ilustra la Creciente Amenaza de las Botnets de IoT

Los Laboratorios de Investigación de Amenazas de CenturyLink descubren un nuevo módulo de botnet dirigido a los Proveedores de Servicios de Internet (ISP)

Las Botnets siguen encontrando nuevas maneras de explotar el creciente caché de los dispositivos conectados a internet. De acuerdo con la nueva inteligencia de Amenazas de CenturyLink, Inc. (NYSE: CTL), TheMoon es uno de los ejemplos más recientes respecto de cuánto han evolucionado estas amenazas. TheMoon es una botnet modular que apunta a las vulnerabilidades de los ruteadores dentro de las redes de banda ancha. En meses recientes, los Laboratorios de Investigación de Amenazas de CenturyLink descubrieron un módulo no documentado de TheMoon diseñado para permitir que la botnet fuera aprovechada por otros actores maliciosos, como un servicio.

Lea el informe de los Laboratorios de Investigación de Amenazas de CenturyLink acerca de TheMoon: https://www.netformation.com/our-pov/a-new-phase-of-themoon/.

“TheMoon es un recordatorio palmario de que las amenazas de las botnets de IoT continúan evolucionando,” comentó Mike Benjamin, responsable de los Laboratorios de Investigación de Amenazas de CenturyLink. “TheMoon no solo demuestra su capacidad para distribuir módulos maliciosos de diversa funcionalidad, sino que funciona como botnet como servicio, permitiendo que la usen otros actores maliciosos para obtener credenciales por fuerza bruta, fraude de videos publicitarios y ofuscación de tráfico general, entre otros usos.”

Aprendizajes Clave

  • Los Laboratorios de Identificación de Amenazas de CenturyLink identificaron un módulo no documentado de TheMoon que se implementa únicamente en los dispositivos MIPS, una arquitectura común de microprocesador que por lo general se encuentra en los gateways y módems residenciales.
  • El nuevo módulo de TheMoon convierte un dispositivo infectado en un proxy SOCKS, un servicio que puede usarse maliciosamente para circunnavegar los filtros de internet u oscurecer la fuente del tráfico de internet, permitiendo que el autor de la botnet venda su red proxy como un servicio a terceros.
  • Los Laboratorios de Investigación de Amenazas de CenturyLink observaron a un operador de video de anuncios fraudulentos utilizar TheMoon en beneficio como servicio proxy en beneficio propio, impactando a 19.000 URLs exclusivas sobre 2.700 dominios únicos durante un lapso de seis horas.
  • CenturyLink bloqueó la infraestructura de TheMoon en su red para mitigar el riesgo para los clientes, además de notificar a otros propietarios de redes de dispositivos potencialmente infectados para que ayuden a proteger la internet.
  • Dado que muchas explotaciones recientes han usado vulnerabilidad4es conocidas que solo funcionaron en máquinas o dispositivos que no fueron actualizados oportunamente, CenturyLink incentiva a los consumidores a actualizar el firmware de los ruteadores residenciales regularmente y verificar con sus proveedores de servicio de internet para decidir en qué momento hay que remplazar sus ruteadores.