Eine neue Variante der „TheMoon“-Malware-Botnet hat Tausende veralteter Router und IoT-Geräte für kleine Büros und Heimbüros (SOHO) in 88 Ländern infiziert, um diese als Proxies für kriminelle Online-Aktivitäten zu nutzen.

Verknüpft mit dem „Faceless“-Proxy-Dienst, nutzt diese Malware einige der infizierten Geräte, um den Datenverkehr für Cyberkriminelle zu anonymisieren, die ihre böswilligen Aktivitäten verschleiern möchten.

Forscher von Black Lotus Labs, die die jüngste TheMoon-Kampagne seit Anfang März 2024 beobachten, meldeten die gezielte Infektion von 6.000 ASUS-Routern innerhalb von weniger als 72 Stunden.

Gezielte Angriffe auf ASUS-Router Erstmals im Jahr 2014 entdeckt, richtet sich TheMoon nun vorwiegend gegen ASUS-Router. Die Forscher haben nicht genau spezifiziert, wie die Router kompromittiert wurden, aber die betroffenen Modelle sind außer Betrieb, sodass bekannte Schwachstellen im Firmware vermutlich ausgenutzt wurden.

Nach dem Zugriff auf ein Gerät richtet die Malware spezifische iptables-Regeln ein, um eingehenden TCP-Verkehr auf den Ports 8080 und 80 zu blockieren und nur Verkehr aus bestimmten IP-Bereichen zuzulassen. Dies schützt das kompromittierte Gerät vor externen Eingriffen.

Der Proxy-Dienst „Faceless“ „Faceless“ ist ein Cyberkriminalitäts-Proxy-Dienst, der Netzwerkverkehr durch kompromittierte Geräte für Kunden leitet, die ausschließlich in Kryptowährungen bezahlen. Um ihre Infrastruktur vor dem Mapping durch Forscher zu schützen, stellen die Betreiber von Faceless sicher, dass jedes infizierte Gerät nur mit einem Server kommuniziert, solange die Infektion andauert.

Schutzmaßnahmen und Indikatoren einer Infektion Zur Abwehr dieser Botnets sollten starke Admin-Passwörter verwendet und die Firmware des Geräts auf die neueste Version aktualisiert werden, die bekannte Schwachstellen adressiert. Zeichen einer Malware-Infektion auf Routern und IoT-Geräten können Konnektivitätsprobleme, Überhitzung und verdächtige Einstellungsänderungen sein.

Diese neueste Entdeckung unterstreicht die anhaltende Bedrohung durch Cyberangriffe auf kritische Infrastrukturen und die Notwendigkeit starker Cybersecurity-Praktiken.