The Moon atakuje. Orange przestrzega użytkowników

Za pomocą zainfekowanych urządzeń sieciowych The Moon może przechwytywać nasze dane ze znacznie mniejszym ryzykiem wykrycia, a także wykorzystywać podłączone do sieci urządzenia jako elementy botnetu. The Moon jest kolejną hybrydą rodziny złośliwego oprogramowania, zidentyfikowaną już kilka lat temu. Oprogramowanie to wykorzystuje podatności w urządzeniach z systemem Linux, ze szczególnym naciskiem na używane w domach routery, za pomocą których łączymy się z internetem.

Malware umożliwia przejęcie zdalnej kontroli nad urządzeniem przy pominięciu autentykacji z wykorzystaniem protokołu NHAP (Challenge Handshake Authentication Protocol). Infekcja może nastąpić m.in. w wyniku kliknięcia przez użytkownika w złośliwy link z maila phishingowego, bądź uruchomienie fałszywego komunikatu, czy reklamy podczas przeglądania witryny internetowej. Powoduje to wykonanie exploita, a kolejne pobierane pliki .nttpd umożliwiają zestawienie komunikacji z listą serwerów zdalnego zarządzania (C&C) w celu pozyskania dodatkowych instrukcji lub plików wykonywalnych.

Czytaj także: Atak DDoS na grupę bankową Lloyds

Jak można ustrzec się przed tym wirusem? Orange Polska radzi przede wszystkim upewnić się raz jeszcze, że zmieniliśmy domyślne hasło dostępu do naszego routera i nie jest ono dostępne z internetu. W przypadku urządzeń z sieci sprzedaży Orange dostęp z internetu jest domyślnie wyłączony. Dodatkowo, jeśli czytając ten tekst jesteśmy zalogowani, należy wpisać w przeglądarce adres https://cert.orange.pl/modemscan/index.py/scan/