Una nueva variante de la botnet “TheMoon” infectó a miles de enrutadores obsoletos en oficinas pequeñas o de trabajo remoto (SOHO, por sus siglas en inglés) y dispositivos IoT en 88 países.
De acuerdo con una investigación de Black Lotus Labs, el brazo de investigación y respuesta de amenazas de la firma de ciberseguridad Lumen, la más reciente campaña de esta red zombi, detectada por primera vez hace 10 años, inició a principios de marzo.
“A través de la visibilidad de la red global de Lumen, Black Lotus Labs ha identificado una campaña que comenzó en la primera semana de marzo de 2024 y que atacó a más de 6,000 enrutadores ASUS en menos de 72 horas”, alertó el grupo en una publicación de blog titulada “El lado oscuro de TheMoon“.
Los investigadores revelaron que ha operado silenciosamente mientras crecía a más de 40,000 bots en enero y febrero pasados. La mayoría de estos, explican, se utilizan como base de un notorio servicio de proxi centrado en ciberdelincuentes, conocido como Faceless.
Según su último monitoreo, TheMoon parece permitir el crecimiento de Faceless a un ritmo de casi 7,000 nuevos usuarios por semana.
Los investigadores no especificaron el método exacto utilizado para violar los enrutadores ASUS, pero dado que los modelos de dispositivos objetivo están al final de su vida útil, es probable que los atacantes aprovecharan vulnerabilidades conocidas en el firmware.
Nuevos métodos para mantenerse anónimos
Según Black Lotus Labs, Faceless es una opción ideal para los ciberdelincuentes que buscan anonimato. Esta red, añadió, ha sido utilizada por operadores de botnets como SolarMarker e IcedID.
En sus conclusiones, el grupo advirtió que con la creciente atención prestada al ecosistema del cibercrimen por parte de las organizaciones policiales y de inteligencia, los delincuentes buscan nuevos métodos para ofuscar su actividad.
“Si bien algunos grupos dependen de herramientas como servicios VPN disponibles comercialmente, ha habido al menos un caso de registros de VPN que llevaron a la identificación de un delincuente”, detalló.
Los investigadores señalaron que existen algunos indicios de que la propia red TOR podría conducir a la anonimización si una entidad determinada controlara suficientes nodos y recibiera suficientes datos de ellos.
“Es posible que eventos como estos no eclipsen el uso de servicios VPN, pero la tendencia está cambiando hacia los servidores proxi residenciales como la primera opción de las organizaciones criminales”, concluyeron.
Así trabaja la última campaña de TheMoon
Una vez que un bot se comunica con un servidor Faceless, se inscribe en esa red proxi. Cuando el malware obtiene acceso a un dispositivo, comprueba la presencia de entornos de shell específicos (“/bin/bash”, “/bin/ash” o “/bin/sh”); de lo contrario, detiene la ejecución.
Si los detecta, el cargador descifra, descarta y ejecuta una carga útil denominada “.nttpd” que crea un archivo PID con un número de versión (26 actualmente). Después configura reglas de iptables para eliminar el tráfico TCP entrante y, al mismo tiempo, permitir el tráfico desde rangos de IP específicos. Esta táctica protege el dispositivo comprometido de interferencias externas.
A continuación, el malware intenta ponerse en contacto con una lista de servidores NTP legítimos para detectar entornos sandbox y verificar la conectividad a internet.
Los atacantes también pueden forzar contraseñas de administrador por fuerza bruta o probar credenciales débiles y predeterminadas.
Una infección anómala
Black Lotus Labs identificó una tendencia interesante en términos de longevidad: 30% de las infecciones duraron más de 50 días, mientras que alrededor de 15% de los dispositivos formaron parte de la red durante 48 horas o menos.
“Nuestro análisis reveló un gran conjunto anómalo de bots que solo estuvieron infectados durante 23 días. Este grupo fue producto de que Faceless reuniera varios miles de dispositivos de un ASN específico y posteriormente perdió el control de ellos 23 días después”, explicó.
TheMoon fue detectado por primera vez en 2014 cuando los investigadores encontraron que el malware explotaba vulnerabilidades para infectar dispositivos LinkSys.
¿Cómo protegerse?
Black Lotus Labs recomendó a los encargados de la ciberseguridad de una red corporativa mantenerse alerta de ataques a credenciales débiles e intentos de inicio de sesión sospechosos, incluso cuando se originan en direcciones IP residenciales que evitan las geocercas y el bloqueo basado en ASN.
Además, proteger los activos de la nube para que no se comuniquen con robots que intentan realizar ataques de pulverización de contraseñas y comenzar a bloquear los IoC con firewalls de aplicaciones web.
Para los usuarios con enrutadores SOHO, sugirió seguir las mejores prácticas para reiniciar periódicamente estos equipos e instalar actualizaciones y parches de seguridad. Y para organizaciones que administran estos, asegurarse que los dispositivos no dependan de contraseñas predeterminadas comunes y garantizar que las interfaces de gestión estén debidamente protegidas y no sean accesibles a través de internet.