Wzrost infekcji TheMoon

W ostatnich dniach obserwujemy w sieci Orange Polska wzrost infekcji wywołanych przez konia trojańskiego znanego pod nazwą „TheMoon”. Złośliwe oprogramowanie wykorzystuje podatności w urządzeniach z systemem linux (a zwłaszcza w ruterach domowych), umożliwiające przejęcie zdalnej kontroli nad urządzeniem przy pominięciu autentykacji z wykorzystaniem protokołu NHAP (Challenge Handshake Authentication Protocol).

The Moon jest kolejną hybrydą rodziny złośliwego oprogramowania zidentyfikowaną już kilka lat temu.
Infekcja urządzenia może nastąpić m. in. w wyniku kliknięcia przez użytkownika w link złośliwych stron umieszczanych w treści otrzymanych mailach phishingowych, czy uruchomienia fałszywego komunikatu bądź reklamy podczas przeglądania witryny internetowej, w konsekwencji wykonując exploita. Kolejne pobierane przez „The Moon” pliki .nttpd umożliwiają zestawienie komunikacji z listą serwerów zdalnego zarządzania (C&C) w celu pozyskania dodatkowych instrukcji lub plików wykonywalnych.

Występowanie podatności ruterów ich użytkownicy mogą sprawdzić m. in. za pomocą narzędzia online dostępnego pod adresem https://cert.orange.pl/modemscan/index.py/scan/, postępując zgodnie z wyświetlanymi instrukcjami. Rekomendujemy też, niezależnie od wyniku testu, upewnić się że hasło dostępowe do rutera, zostało zmienione na zdefiniowane przez użytkownika.