TheMoon переквалифицировался с DDoS-ботнета на прокси
IoT-ботнет TheMoon использовался для проксирования трафика в мошеннической схеме с рекламой на YouTube.
Исследователи безопасности американского интернет-провайдера CenturyLink обнаружили ботнет из устройств «Интернета вещей» (IoT), используемый для проксирования трафика в мошеннической схеме с рекламой на YouTube. Специалисты выявили мошенническую схему во время анализа ботнета TheMoon, в который попали некоторые устройства CenturyLink. Устройства осуществляли брутфорс-атаки на популярные сайты – как оказалось, они были заражены вредоносным ПО TheMoon, вооружившимся совершенно новым модулем.
Ботнет TheMoon известен исследователям еще с 2014 года. Как правило, вредонос заражал маршрутизаторы и IoT-устройства с помощью эксплоитов для известных уязвимостей. В начале своей истории ботнет использовался для осуществления DDoS-атак, однако в последние годы стал исчезать с DDoS-сцены. По мнению экспертов, это связано с тем, что теперь TheMoon используется злоумышленниками в качестве прокси для осуществления мошеннических схем.
Догадки исследователей подтвердились в начале прошлого года, когда специалисты из Qihoo 360 Netlab обнаружили в TheMoon первый модуль для проксирования трафика. Теперь же эксперты CenturyLink выявили совершенно новый, ранее неизвестный модуль, подтверждающий эволюцию TheMoon от DDoS-ботнета до прокси.
Злоумышленники действуют следующим образом. TheMoon заражает уязвимое устройство и загружает на него дополнительный модуль, открывающий на зараженном устройстве прокси SOCKS5, доступ к которому операторы вредоноса продают другим киберпреступникам.