Grazie al lavoro degli esperti di Black Lotus Labs è stato possibile individuare una versione aggiornata del malware TheMoon.
L’agente malevolo in questione, identificato per la prima volta dieci anni fa, si sta rendendo protagonista di una massiccia campagna malware contro router Asus non aggiornati.
L’ultima variante del malware, a quanto pare, sta creando una enorme botnet, avendo compromesso più di 40.000 dispositivi in 88 diversi paesi. L’operazione, avviata un paio di mesi fa, impressiona gli esperti per velocità e facilità di diffusione.
Secondo le stime, in appena 72 ore, TheMoon è riuscito a compromettere ben 6.000 router.
TheMoon impressiona gli esperti per la rapidità di diffusione
Allo stato attuale Black Lotus non è in grado di fornire indizi su come il malware è riuscito ad infettare un numero impressionante di dispositivi in così poche ore.
Di certo si sa che, prima di eseguire il payload dannoso, TheMoon verifica la presenza di ambienti sandbox, testando la connessione Internet ed eseguendo altri controlli. Se il contesto si dimostra favorevole, l’agente malevolo tenta di prendere contatto con il centro di comando e controllo, da cui i cybercriminali forniscono maggiori direttive per i passi successivi dell’infezione.
TheMoon, per incrementare le proprie capacità, si affida a Faceless, un famoso servizio proxy già utilizzato in diverse campagne malware, come SolarMarker e IceID.
Come confermato dagli esperti di BlackLotus, esistono una serie di azioni preventive per evitare questo tipo di infezione. L’aggiornamento del firmware dei router (sia Asus che di qualunque altra marca) offre di certo una buona base di partenza.
L’adozione di password complesse, così come di antivirus efficaci, è un ulteriore passo verso la sicurezza. Nel caso di TheMoon e attacchi simili, inoltre, è bene sostituire il proprio router quando questo risulta datato, soprattutto se il produttore ha smesso di fornire aggiornamenti regolari al firmware.