Znaczny wzrost liczby infekcji koniem trojańskim „The Moon” zaobserwowali specjaliści z CERT Orange Polska. „Mroczny księżyc”, to specyficzny rodzaj złośliwego oprogramowania, które nie usiłuje włamać się na nasz komputer, lecz na urządzenia sieciowe.
Za pomocą zainfekowanych urządzeń sieciowych The Moon może przechwytywać nasze dane ze znacznie mniejszym ryzykiem wykrycia, a także wykorzystywać podłączone do sieci urządzenia jako elementy botnetu. The Moon jest kolejną hybrydą rodziny złośliwego oprogramowania, zidentyfikowaną już kilka lat temu. Oprogramowanie to wykorzystuje podatności w urządzeniach z systemem Linux, ze szczególnym naciskiem na używane w domach routery, za pomocą których łączymy się z internetem.
Malware umożliwia przejęcie zdalnej kontroli nad urządzeniem przy pominięciu autentykacji z wykorzystaniem protokołu NHAP (Challenge Handshake Authentication Protocol). Infekcja może nastąpić m.in. w wyniku kliknięcia przez użytkownika w złośliwy link z maila phishingowego, bądź uruchomienie fałszywego komunikatu, czy reklamy podczas przeglądania witryny internetowej. Powoduje to wykonanie exploita, a kolejne pobierane pliki .nttpd umożliwiają zestawienie komunikacji z listą serwerów zdalnego zarządzania (C&C) w celu pozyskania dodatkowych instrukcji lub plików wykonywalnych.
Czytaj także: Atak DDoS na grupę bankową Lloyds
Jak można ustrzec się przed tym wirusem? Orange Polska radzi przede wszystkim upewnić się raz jeszcze, że zmieniliśmy domyślne hasło dostępu do naszego routera i nie jest ono dostępne z internetu. W przypadku urządzeń z sieci sprzedaży Orange dostęp z internetu jest domyślnie wyłączony. Dodatkowo, jeśli czytając ten tekst jesteśmy zalogowani, należy wpisać w przeglądarce adres https://cert.orange.pl/modemscan/index.py/scan/