Uma botnet anteriormente considerada inerte foi observada escravizando roteadores domésticos/pequenos escritórios (SOHO) em fim de vida (EoL) e dispositivos IoT para alimentar um serviço de proxy criminoso chamado Faceless.
“TheMoon, que surgiu em 2014, tem operado silenciosamente enquanto crescia para mais de 40.000 bots de 88 países em janeiro e fevereiro de 2024”, disse a equipe do Black Lotus Labs da Lumen Applied sciences.
Faceless, detalhado pelo jornalista de segurança Brian Krebs em abril de 2023, é um serviço de proxy residencial malicioso que oferece seus serviços de anonimato a outros atores de ameaças por uma taxa insignificante que custa menos de um dólar por dia.
Ao fazê-lo, permite aos clientes encaminhar o seu tráfego malicioso através de dezenas de milhares de sistemas comprometidos anunciados no serviço, ocultando efetivamente as suas verdadeiras origens.
A infraestrutura apoiada pelo Faceless foi avaliada para ser usada por operadores de malware como SolarMarker e IcedID para se conectarem aos seus servidores de comando e controle (C2) para ofuscar seus endereços IP.
Dito isto, a maioria dos bots é usada para pulverização de senhas e/ou exfiltração de dados, visando principalmente o setor financeiro, com mais de 80% dos hosts infectados localizados nos EUA.
A Lumen disse que observou a atividade maliciosa pela primeira vez no remaining de 2023, com o objetivo de violar roteadores EoL SOHO e dispositivos IoT e implantar uma versão atualizada do TheMoon e, por fim, inscrever o botnet no Faceless.
Os ataques envolvem a eliminação de um carregador responsável por buscar um executável ELF de um servidor C2. Isso inclui um módulo de worm que se espalha para outros servidores vulneráveis e outro arquivo chamado “.sox” que é usado para fazer proxy do tráfego do bot para a Web em nome de um usuário.
Além disso, o malware configura regras de iptables para descartar o tráfego TCP de entrada nas portas 8080 e 80 e permitir o tráfego de três intervalos de IP diferentes. Ele também tenta entrar em contato com um servidor NTP de uma lista de servidores NTP legítimos, em um esforço provável para determinar se o dispositivo infectado tem conectividade com a Web e não está sendo executado em uma sandbox.
O direcionamento de dispositivos EoL para fabricar a botnet não é coincidência, pois eles não são mais suportados pelo fabricante e tornam-se suscetíveis a vulnerabilidades de segurança ao longo do tempo. Também é possível que os dispositivos sejam infiltrados por meio de ataques de força bruta.
Uma análise adicional da rede proxy revelou que mais de 30% das infecções duraram mais de 50 dias, enquanto cerca de 15% dos dispositivos fizeram parte da rede durante 48 horas ou menos.
“Faceless se tornou um serviço de proxy formidável que surgiu das cinzas do serviço de anonimato ‘iSocks’ e se tornou uma ferramenta integral para criminosos cibernéticos ofuscarem suas atividades”, disse a empresa. “TheMoon é o principal, senão o único, fornecedor de bots para o serviço de proxy Faceless.”
