Una nuova variante di MooBot, malware a sua volta fatto derivare da Mirai, è stata avvistata in questi giorni.
Gli aggressori l’hanno aggiornata con il preciso scopo di prendere di mira alcune vulnerabilità vecchie e nuove dei router D-Link. Lo schema di funzionamento è sempre lo stesso: MooBot va alla ricerca dei dispositivi vulnerabili, li aggredisce quindi li aggiunge a una botnet. In questo modo i criminali informatici possono accedervi a distanza, eseguire ulteriore codice dannoso e utilizzarli per lanciare attacchi DDoS (Distributed Denial of Services).
I ricercatori di Unit 42 (Palo Alto Networks) hanno esaminato in profondità il comportamento del nuovo MooBot accertando che le falle di sicurezza sfruttate, già risolte da D-Link, sono le seguenti: CVE-2015-2051,
CVE-2018-6530, CVE-2022-26258 e CVE-2022-28958.
In tutti i casi la loro presenza porta all’esecuzione di codice arbitrario sul router e ad oggi le patch rilasciate da D-Link sotto forma di aggiornamenti del firmware non sono ancora state correttamente applicate da molti utenti (soprattutto gli aggiornamenti per le ultime due vulnerabilità, risalenti a marzo e maggio 2022).
Gli utenti di dispositivi D-Link compromessi possono notare cali di velocità durante la connessione Internet, mancata risposta del router o dei siti Web, surriscaldamento del dispositivo o modifiche inspiegabili della configurazione DNS. Si tratta di segnali inequivocabili di infezioni da botnet.
Il modo migliore per chiudere la porta a MooBot e a minacce simili consiste nello scaricare e installare gli aggiornamenti firmware disponibili sul sito di D-Link. Se si stesse utilizzando un router vecchio e non più supportato bisognerebbe accertarsi di averlo configurato per impedire l’accesso remoto al pannello di amministrazione. La fine del supporto è comunque un motivo valido per cambiare router e sostituirlo con un modello più moderno.
A dicembre 2021 gli analisti di Fortinet avevano scoperto che MooBot veniva utilizzato per aggredire le telecamere Hikvision e usarle al fine di lanciare attacchi DDoS, esattamente come nel caso dei router D-Link lasciati senza le ultime patch di sicurezza.