Ботнет Moobot вернулся за вашими непропатченными роутерами D-Link
Главная » Новости

Ботнет Moobot вернулся за вашими непропатченными роутерами D-Link

Екатерина Быстрова 07 Сентября 2022 - 10:03
...
Ботнет Moobot вернулся за вашими непропатченными роутерами D-Link

Один из вариантов ботнета Mirai, известный под именем “MooBot“, опять дал о себе знать с новой волной кибератак. На этот раз операторы атакуют уязвимые маршрутизаторы D-Link, причём используются как старые, так и новые эксплойты.

О MooBot впервые рассказали специалисты компании Fortinet в декабре 2021 года. Тогда ботнет был нацелен на IP-камеры Hikvision и демонстрировал неплохую скорость распространения, объединяя взломанные устройства для DDoS-атак.

На новые атаки MooBot обратили внимание исследователи из команды Unit 42, которая принадлежит Palo Alto Network. По словам специалистов, злоумышленники пытаются эксплуатировать следующие критические уязвимости в устройствах D-Link:

  • CVE-2015-2051 — возможность выполнения команд в заголовке D-Link HNAP SOAPAction
  • CVE-2018-6530 — уязвимость удалённого выполнения кода в интерфейсе D-Link SOAP
  • CVE-2022-26258 — RCE-брешь, также приводящая к удалённому выполнению кода
  • CVE-2022-28958 — ещё одна RCE-брешь

 

Несмотря на то что вендор уже выпустил патчи для этих дыр, не все пользователи успели установить их. Особенно это касается последних двух, о которых стало известно в марте и мае этого года соответственно.

Операторы MooBot используют готовые эксплойты, чтобы выполнить на уязвимых устройствах вредоносный код. С помощью специальных команд киберпреступники запускают бинарник вредоноса.

 

Далее зловред расшифровывает адрес, жёстко заданный в коде конфигурации, и регистрирует новое скомпрометированное устройство на командном сервере (C2) злоумышленников. Интересно, что адрес C2 в отчёте Unit 42 отличается от того, что был упомянут ранее Fortinet. Это значит, что киберпреступники обновили инфраструктуру.

Собрав необходимое число девайсов-ботов, MooBot запускает DDoS-атаки, цель которых зависит от того, что нужно операторам. Как правило, они продают услуги DDoS другим злодеям.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Мошенники предлагают жилье на российских курортах с бронью в 1 рубль
Татьяна Никитина 09 Апреля 2025 - 14:37
МошенничествоОнлайн-мошенничество Домашние пользователи F6
Мошенники предлагают жилье на российских курортах с бронью в 1 рубль

В преддверии курортного сезона сетевые аферисты обкатывают новую схему обмана. Отпускникам предлагают на льготных условиях снять квартиру в Сочи или Светлогорске, а для «безопасного бронирования» — зайти на фишинговый сайт.

Рекламные видео в рамках данной схемы, по данным F6, публикуются в YouTubeShorts, TikTok и Instagram (принадлежит Meta, деятельность которой признана в России экстремистской и запрещена). В результате действий мошенников жертвы теряют от 1 тыс. до 140 тыс. рублей.

Для публикации приманок создаются аккаунты, которые обычно живут 1-2 месяца. Сами ролики представляют собой видеообзор квартиры либо слайд-шоу из фото, найденных в интернете; просмотры злоумышленники накручивают с помощью платных специнструментов.

Аренду жилья они предлагают по ценам ниже рыночных либо сулят большие скидки. Предоплата чисто символическая — лишь 1 рубль, для подтверждения намерений нужно перейти по ссылке на сайт, имитирующий популярный российский сервис бронирования (выявлены три варианта фейков).

 

После нажатия кнопки «Оплатить» владельцам iPhone выводятся фишинговые страницы для кражи данных банковских карт и СМС-кодов (иногда мошенники просят прислать одноразовый код или скриншот с ним в личку).

Заход на поддельный сервис с Android-устройства грозит заражением: под кнопкой оплаты скрывается редирект на фальшивую страницу Google Play с приложением, которое якобы нужно скачать для продолжения бронирования. На самом деле это вредонос, предназначенный для кражи данных банковских карт и СМС с кодами подтверждения транзакций.

«Киберпреступники ежегодно совершенствуют схемы курортного мошенничества и добавляют новые сценарии, но и от старых отказываться не спешат, — комментирует Евгений Егоров, ведущий аналитик департамента Digital Risk Protection компании F6. — Каждую весну появляются сайты-двойники отелей и пансионатов, расположенных в Краснодарском крае и Крыму, через которые пользователям предлагают заманчивые скидки на приобретение путёвок. Точно так же возникают фейковые сайты сервисов по продаже билетов, которые обещают дешёвые перелёты по популярным туристическим направлениям».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
D-Link советует лечить опасную уязвимость в DIR-878 заменой роутера
Новость
D-Link советует лечить опасную уязвимость в DIR-878 заменой...
Шифровальщику Phobos объявили войну: арестованы четверо, сайт 8base закрыт
Новость
Шифровальщику Phobos объявили войну: арестованы четверо, сай...
Депутат Антон Ткачёв предложил оплачивать содействие поимке мошенников
Новость
Депутат Антон Ткачёв предложил оплачивать содействие поимке...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.