Una nuova variante di malware, nota come "TheMoon", ha scatenato un'ondata di infezioni, colpendo più di 6.000 router ASUS in sole 72 ore. Questo malware è collegato al servizio proxy "Faceless", utilizzato dai criminali informatici per anonimizzare le proprie attività malevole.
I ricercatori di Black Lotus Labs hanno identificato questa nuova campagna all'inizio di marzo 2024, durante la quale numerosi dispositivi IoT obsoleti, inclusi router per piccoli uffici e uffici domestici, sono stati infettati in 88 Paesi diversi. Tra i dispositivi colpiti, i router ASUS sono emersi come bersagli principali, con più di 6.000 unità infettate rapidamente. TheMoon è stato originariamente scoperto nel lontano 2014, quando i ricercatori lo hanno individuato come un agente dannoso che sfruttava le vulnerabilità nei dispositivi LinkSys.
Una volta infettati, i dispositivi infetti vengono utilizzati come proxy per instradare il traffico per conto dei criminali informatici, che cercano di nascondere le proprie attività dannose dietro questa rete di dispositivi compromessi. Analisti delle minacce hanno riscontrato che il malware TheMoon sta attualmente supportando operazioni di malware come IcedID e SolarMarker, fornendo un mezzo per offuscare le loro attività online.
Per quanto riguarda il metodo di infezione, i ricercatori non hanno specificato dettagli precisi, ma è probabile che gli aggressori abbiano sfruttato vulnerabilità note nei dispositivi obsoleti o tentato di forzare password di amministrazione deboli. Una volta compromesso un dispositivo, il malware stabilisce un collegamento con un server di comando e controllo (C2), attraverso il quale riceve ulteriori istruzioni.
Il servizio proxy "Faceless", connesso a TheMoon, offre ai criminali informatici la possibilità di instradare il traffico attraverso i dispositivi infetti, rendendo le loro attività più difficili da tracciare. Il servizio è accessibile esclusivamente tramite criptovalute e non richiede alcuna verifica dell'identità del cliente, offrendo anonimato completo.
Per difendersi da tali minacce, gli utenti sono fortemente consigliati a utilizzare password di amministrazione robuste sui loro dispositivi e a mantenere costantemente aggiornato il firmware. Segni di infezione includono problemi di connettività, surriscaldamento e modifiche alle impostazioni senza autorizzazione.