Botnet “TheMoon” é usada em esquema de fraude de anúncios do YouTube

A equipe de pesquisa de segurança da American ISP CenturyLink descobriu que uma botnet está fazendo proxy de tráfego para um esquema de fraude de anúncios em vídeos do YouTube.

Pesquisadores fizeram essa descoberta enquanto investigavam uma botnet IoT conhecida como TheMoon, que inicialmente começaram a rastrear depois de observar que vários dispositivos da CenturyLink realizavam ataques de força bruta com credenciais contra sites populares.

Uma investigação desses dispositivos revelou infecções com o malware TheMoon e, posteriormente, também expôs a existência de um módulo nunca antes visto, projetado para transformar roteadores infectados e dispositivos IoT em proxies para tráfego ruim.

O botnet themoon não é novo. Ele existe desde 2014, e seu principal modo de infecção tem sido o uso de exploits para obter controle sobre roteadores e dispositivos de IoT vulneráveis.

Em seus primeiros dias, a botnet havia sido usada principalmente para ataques DDoS, mas nos últimos anos a TheMoon ficou relativamente silenciosa em radares DDoS, levando muitos especialistas a acreditarem que os operadores trocaram a botnet de um “canhão” DDoS para uma rede proxy.

Isso foi confirmado no início de 2018, quando pesquisadores da Qihoo 360 Netlab encontraram um primeiro módulo de proxy. Agora, a equipe de pesquisa da CenturyLink encontrou um módulo nunca antes visto que confirma a evolução do TheMoon de ameaça DDoS para uma rede proxy usada por outros grupos criminosos.

Com base nos resultados disponíveis atualmente, TheMoon parece operar da seguinte forma:

  • Operadores de botnets usam exploits para infectar roteadores / dispositivos IoT com o malware TheMoon
  • O malware TheMoon faz o download de um módulo proxy adicional
  • Módulo abre um proxy SOCKS5 em dispositivos infectados
  • Os operadores do TheMoon alugam o acesso a esses proxies
  • Outros grupos criminosos alugam um pedaço da botnet e enviam instruções aos proxies nos dispositivos infectados sobre quais URLs acessar.

De acordo com a CenturyLink, no ano passado, o botnet TheMoon tem sido usado para ataques de força bruta, ataques de preenchimento de credenciais, para fraudes de publicidade, ofuscação geral de tráfego e muito mais.

Em um relatório divulgado hoje, os pesquisadores da CenturyLink mergulharam fundo em uma das fraudes de publicidade que viram com os dispositivos infectados por TheMoon.

Isso foi possível após a identificação de 24 servidores de comando e controle aos quais os robôs da TheMoon se conectaram e receberam instruções. Especialistas disseram que os operadores da TheMoon deixaram uma porta de serviço exposta on-line que expeliu dados de registros desses servidores C & C, permitindo que eles espionem suas operações.

“Cada servidor em média enviou sete mensagens por segundo”, disseram os Laboratórios de Pesquisa da Threat CenturyLink. “Dentro de cada registro há um domínio e uma URL que, acredita-se, representam uma solicitação de navegação feita ao proxy. Um período de seis horas de um único servidor resultou em solicitações para 19.000 URLs únicos em 2.700 domínios únicos.”

“Depois de procurar alguns dos URLs, ficou aparente que todos eles tinham vídeos do YouTube”, disse o pesquisador.

A descoberta do provedor vem depois que o FBI, o Google e 20 parceiros da indústria de tecnologia fecharam uma gigantesca rede de fraudes publicitárias chamada 3ve no ano passado.

Em uma nota lateral mais engraçada, TheMoon também é a botnet que em um ponto infectou os roteadores domésticos atraindo usuários comuns da Internet em sites de namoro para adultos . O código de exploração oculto nesses sites chamaria os endereços IP locais, conhecidos por serem atribuídos aos roteadores domésticos, e tentaria infectar os roteadores com o malware TheMoon enquanto o usuário estivesse navegando no site.