Il malware TheMoon sta attualmente creando una massiccia botnet, avendo compromesso più di 40.000 dispositivi in 88 diversi paesi. Questa variante del malware, identificata per la prima volta dieci anni fa, sta colpendo router Asus e dispositivi IoT non aggiornati. In appena 72 ore, TheMoon è riuscito a compromettere ben 6.000 router domestici e per piccoli uffici (SOHO).
Il team Black Lotus Labs di Lumen Technologies ha pubblicato un rapporto.
Cosa sappiamo finora
TheMoon impressiona gli esperti per la velocità con cui si diffonde. Non è ancora chiaro come il malware sia riuscito a infettare così tanti dispositivi in così poco tempo. È probabile che gli attaccanti abbiano sfruttato vulnerabilità note e non corrette nel firmware.
Prima di eseguire il payload dannoso, TheMoon verifica la presenza di ambienti sandbox e testa la connessione Internet. Se il contesto è favorevole, l’agente malevolo prende contatto con il centro di comando e controllo. TheMoon si affida al servizio proxy Faceless, già utilizzato in altre campagne malware. Questo servizio offre anonimato completo ai cybercriminali.
Come proteggersi
Per proteggersi, gli utenti dovrebbero aggiornare il firmware dei router, utilizzare password complesse e sostituire i dispositivi datati.
In sintesi, TheMoon è una minaccia seria che richiede attenzione da parte degli utenti e degli amministratori di rete. La sicurezza dei dispositivi è fondamentale per prevenire infezioni e proteggere la privacy online.
Nel frattempo gli esperti di sicurezza hanno osservato che operazioni di malware come IcedID e SolarMarker stanno attualmente utilizzando la botnet per nascondere le loro attività malevoli.