Aggiornamenti recenti Novembre 22nd, 2024 9:00 AM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Attacchi DDoS più che raddoppiati lo scorso anno: il report di F5 Labs
- Come playlist e podcast su Spotify promuovono software pirata
- Google scopre 26 nuove vulnerabilità con l’IA di OSS-Fuzz
- Una grave data breach ha colpito le aziende statunitensi di telecomunicazioni
- Scoperta una nuova variante del ransomware Helldown che colpisce Linux
Ora i pirati usano le botnet IoT per le frodi pubblicitarie su YouTube
Router, videocamere e altri dispositivi “smart” vengono utilizzati per gonfiare i clic sui banner pubblicitari e generare profitti illeciti.
L’incubo della Internet of Things si arricchisce di un nuovo capitolo. Prima il pericolo erano solo gli attacchi DDoS. Ora la fantasia dei cyber-criminali ha trasformato le botnet composte da dispositivi IoT in macchine da soldi che sfruttano il classico schema della frode pubblicitaria online.
L’allarme è stato lanciato da CenturyLink, che ha individuato l’attività da parte di una botnet già operativa da qualche tempo su Internet.
Come spiegano i ricercatori in un report pubblicato su Internet, sembra che il gruppo di criminali che controlla TheMoon hanno cambiato il loro “modello di business”, che fino a qualche tempo fa prevedeva una formula del tipo “DDoS as a service”, cioè l’affitto della botnet per portare attacchi massicci a siti Internet.
TheMoon ora opera piuttosto come una rete proxy, che permette di eseguire migliaia di collegamenti a siti YouTube con lo scopo di gonfiare illecitamente il numero di visualizzazioni e, di conseguenza, i proventi pubblicitari.
Non solo: il gruppo che la controlla sta lavorando per espandere la botnet, utilizzando le solite tecniche che sfruttano le vulnerabilità dei device IoT.
Nel dettaglio, TheMoon sfrutta una serie di exploit che fanno leva sui bug delle web application presenti sui dispositivi, normalmente raggiungibili in remoto attraverso la porta 8080.
Il download del codice malevolo avviene grazie a uno ShellScript che sfrutta un server per scaricare e installare il payload, che una volta operativo comunica con i server Command and Control utilizzando tre diverse porte che cambiano a seconda del tipo di architettura del dispositivo. Nel caso di quelli basati su MIPS, per esempio, le porte utilizzate sono la 5184, 5784 e 4584.
Il nuovo modulo introdotto dai pirati consente la funzionalità di proxy che viene avviata selezionando una porta casuale e che viene modificata più volte nel corso di una giornata.
Secondo la ricostruzione effettuata dai ricercatori, nell’aprile 2018 i pirati hanno aggiunto anche una funzionalità di autenticazione.
Dopo aver monitorato per qualche mese l’attività della botnet sulle loro reti (CenturyLink è un’azienda di telecomunicazioni statunitense – ndr) gli analisti hanno individuato tutti i dispositivi coinvolti e sono riusciti ad abbattere la botnet.
Questo non esclude, specificano nel report, che ve ne sia una parte che sfrutta dispositivi collegati su altre reti o che in questo preciso momento non siano attive altre botnet con funzionalità simili.
Condividi l'articolo
Ricattati da Siri? Con i Comandi Rapidi può succedere
Attacchi mirati col trojan Remexi alle sedi diplomatiche in Iran
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove... -
Aumentano le compromissioni di account email delle forze... L’FBI ha lanciato un allarme: stando a un avviso... -
Scoperta CRON#TRAP, campagna che emula ambienti Linux per... I ricercatori di Securonix hanno scoperto CRON#TRAP, una... -
Report APT ESET: i gruppi filo-cinesi e iraniani... Le minacce APT sono in aumento e in molti casi stanno...
Minacce recenti
Off topic
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul... -
In Microsoft le paghe dei manager dipenderanno dal livello... L’ultimo non è stato un buon anno per Microsoft:...
Post recenti
-
Attacchi DDoS più che raddoppiati lo scorso anno: il... Secondo una ricerca di F5 Labs, gli attacchi DDoS sono...
-
Come playlist e podcast su Spotify promuovono software... Playlist e podcast sono l’esca ideale per attirare ignari... -
Google scopre 26 nuove vulnerabilità con l’IA di... Google ha annunciato di aver trovato 26 nuove...
-
Una grave data breach ha colpito le aziende statunitensi di... Una campagna di spionaggio a opera di hacker cinesi ha... -
Scoperta una nuova variante del ransomware Helldown che... I ricercatori di Sekoia hanno individuato una nuova...
Ransomware: la serie
No posts found.
