Malware TheMoon serang Asus Router WIFI dijadikan parasit


Security | 28 March 2024

Varian baru malware TheMoon dapat mengkontrol ribuan router Asus yang tidak aman menjadi proxy berbahaya

Menggunakan strategi yang mirip dengan cloud atau layanan jarak jauh, dengan kemitraan dari tim berbeda untuk ujuan yang sama.
Operasi perangkat kejahatan terbaru dirancang untuk menyusupi router dan mengubahnya menjadi bot proxy.

Para peneliti di Black Lotus Labs menemukan malware baru yang melibatkan versi terbaru "TheMoon".

Malware TheMoon serang Asus Router WIFI

Berasal dari varian malware yang pertama kali diidentifikasi sepuluh tahun lalu (2014) dan kembali mencari kerentanan perangkat lama Asus.
Di tahun 2014 juga menyerang Router merek LinkSys E1200 dan E1000.

Varian malware TheMoon tampaknya dirancang untuk menyusupi router rumah yang tidak aman dan perangkat IoT lainnya, kemudian dieksploitasi untuk mengarahkan lalu lintas melalui layanan proxy “komersial” yang dikenal sebagai Faceless.

Botnet TheMoon beroperasi "secara diam-diam", menyusupi lebih dari 40.000 perangkat di 88 negara berbeda antara Januari dan Februari 2024
Tapi di minggu pertama Maret 2024, aktivitas meningkat menyerang Router merek Asus.
Dalam 72 jam, malware telah menginfeksi 6.000 perangkat

Black Lotus tidak memberikan rincian metode yang digunakan malware menginfeksi router.
Kemungkinan malware mengeksploitasi kerentanan yang diketahui untuk mengubah perangkat yang tidak mendapat dukungan lagi sebagai mesin bot.



Setelah router disusupi, TheMoon mencari shell tertentu untuk mengeksekusi muatan utama yang berbahaya.
"/bin/bash," "/bin/ash," or "/bin/sh"

Payload / atau program yang dimasukan, ini dirancang secara rutin menghentikan lalu lintas TCP yang masuk pada port 8080 dan 80.
Juga mengijinkan paket dari rentang IP tertentu.

Setelah itu bot memeriksa data dari Sandbox / trafik di NTP, memverifikasi koneksi internet. (.nttpd)
Malware TheMoon mencoba terhubung ke server lain sebagai server perintah / C&C, dan meminta atau menunggu instruksi.



Tidak berhenti disana, malware akan mengambil / download komponen tambahan lain.
Mirip seperti program modul worm yang memeriksa server HTTP yang rentan. Lalu mendownload file .sox, membuat Asus WIFI Router sebagai perangkat Proxy.

Sebagian besar WIFI Router Asus yang dapat terinfeksi oleh varian TheMoon yang diperbaharui dan diketahui oleh peneliti keamanan berasal dari Faceless.
Sebuah layanan proxy terkenal yang digunakan untuk pengoperasian malware IceID dan SolarMarker.

Faceless dapat mengaburkan trafik berbahaya mereka, dan membayar dalam bentuk coin kripto untuk jasa mereka.
Peneliti melihat 1/3 infeksi dapat bertahan selama 50 hari, dan 15% lainnya menghilang agar tidak terditeksi.

Malware TheMoon dan Faceless merupakan 2 pengoperasian malware / botnet berbeda, tapi memiliki kepentingan yang sama untuk mencari perangkat yang lemah dan dijadikan bisnis.

Bagaimana menangani malware yang menginfeksi kelemahan WIFI Router kita.
Peneliti menyarankan mengunakan password yang kuat, dan tidak mudah di tebak.
Mengupdate Firmware perangkat ke versi terbaru bila tersedia.

Kendalanya tetap sama, WIFI Router Asus ada yang tidak mendapat update atau tidak mendapat dukungan setelah masa garansi.
Perangkat tersebut dijadikan target pembuat malware TheMoon.

Bila kita memiliki kepentingan untuk sistem keamanan, solusi hanya menganti WIFI Router ke model terbaru.

Malware tidak seperti generasi sebelumnya, terus berkembang menjadi program parasit.
Tidak hanya program untuk computer, tapi program Android, target computer, perangkat IoT, WIFI yang terkait dengan internet.

Serangan malware tidak lagi bertujuan merusak seperti Ransomware untuk meminta tebusan.

Menjadikan computer sebagai mesin penyerang (botnet) ketika ada yang ingin menyerang server lain dan membayar, disana program botnet menjadi parasit.
Juga TheMoon, sebagai lahan baru, membuat bot server proxy, dimana koneksi internet di jual penjahat.

Serangan lain dilakukan dari program, seperti crack, dari game dan program gratis juga lazim dibuat.
Bila anda mendownload program gratisan, sediakan waktu memeriksa di virustotal. Setidaknya kita tahu program apa yang kita install di computer.




Artikel Lain

TP-Link Archer AX21 sasaran Botnet bila tidak di update. Patch diberikan tahun 2023, tapi tahun 2024 jaringan Botnet masih mencari perangkat tidak di update Firmware. Terbesar 60.000 perhari perangkat terditeksi Fornite security. Salah satu WIFI Router penjualan No.1 terbanyak di Amazon, menjadi sasaran Botnet.

NSO pembuat Pegasus diminta ungkap kode oleh Whatsapp. Pegasus terungkap mata-mata anti pemerintah Polandia. Pegasus ditemukan setidaknya 50 ribu nomor telepon. Menyusup di smartphone kalangan eksekutif, jurnalis, aktivis, badan pemerintah sebagai target. NSO grup pembuat software mata mata tersebut menolak pengunaan software mereka untuk warga biasa.



Jangan sembarangan download, terlebih program player video. Infeksi malware membuat computer sebagai proxy atau ProxyNation. Kabar telah terinfeksi 400.000 computer. Kemungkinan malware lolos dari pemeriksaan Antivirus. Diketahui mengunakan nama file terkait DigitalPulse.

MSI Afterburner kembali dimanfaatkan untuk menyebar malware. Setelah tahun 2021 muncul beberapa situs palsu. Kali ini 50 nama website terkait MSI Afterburner. AMD Adrenalin driver juga mulai diarahkan ke situs yang bukan untuk download driver AMD

Malware BotenaGo mencari kerentanan pada perangkat network seperti modem, sampai perangkat IoT. Tetapi peneliti melihat BotenaGo bagian salah satu modul dari serangan yang lebih besar. Antivirus VirusTotal menditeksi tidak semua data dapat mengenali.

Varian Mirai dengan malware InfectedSlurs mencari kelemahan perangkat NVR dan LAN Router Okt 2023. Penguna WIFI Router Archer AX21 update firmware, perangkat merek lain berdampak. Analisa baru infeksi ada di perangkat jaringan terhubung ke LAN Ethernet. Indonesia sarang Botnet, tercatat Cloudflare Agustus, Yandex bulan September.

MosaicLoader malware tidak memiliki target, hanya menginfeksi computer dan memasukan backdoor. Menargetkan PC yang mencari program versi petani. Meminta di nonaktifkan antivirus dan penyebaran iklan internet. BitDefender mengatakan ada tujuan lain. Mereka seperti mengumpulkan infeksi sebanyak mungkin.



Curigai bila folder Antivirus hilang. Malware Crackonosh menyusup di crack game populer. Di install 800 unit computer setiap hari, terlihat lambat tapi berhenti. Hati hati dengan crack game, computer dimanfaatkan untuk menambang Manero Kripto. Sulit di hapus karena menginfeksi file penting di Windows

Peneliti dari Trustwave menemukan serangan ke unit router Microtik dan jumlahnya mencapai ribuan router. Router dapat terinfeksi Script Cyrptominer CoinHive. Serangan tersebut diketahui ketika lonjakan aktivitas CoinHive di negara Brasil terjadi awal pekan.



Youtube Obengplus

Trend