Accedi al tuo profilo

Selezione la tua area di interesse

News Recenti

Ora i pirati usano le botnet IoT per le frodi pubblicitarie su YouTube

Feb 01, 2019 Marco Schiaffino In evidenza, Malware, News, RSS, Scenario 0

Router, videocamere e altri dispositivi “smart” vengono utilizzati per gonfiare i clic sui banner pubblicitari e generare profitti illeciti.

L’incubo della Internet of Things si arricchisce di un nuovo capitolo. Prima il pericolo erano solo gli attacchi DDoS. Ora la fantasia dei cyber-criminali ha trasformato le botnet composte da dispositivi IoT in macchine da soldi che sfruttano il classico schema della frode pubblicitaria online.

L’allarme è stato lanciato da CenturyLink, che ha individuato l’attività da parte di una botnet già operativa da qualche tempo su Internet.

Come spiegano i ricercatori in un report pubblicato su Internet, sembra che il gruppo di criminali che controlla TheMoon hanno cambiato il loro “modello di business”, che fino a qualche tempo fa prevedeva una formula del tipo “DDoS as a service”, cioè l’affitto della botnet per portare attacchi massicci a siti Internet.

TheMoon ora opera piuttosto come una rete proxy, che permette di eseguire migliaia di collegamenti a siti YouTube con lo scopo di gonfiare illecitamente il numero di visualizzazioni e, di conseguenza, i proventi pubblicitari.

Non solo: il gruppo che la controlla sta lavorando per espandere la botnet, utilizzando le solite tecniche che sfruttano le vulnerabilità dei device IoT.

Nel dettaglio, TheMoon sfrutta una serie di exploit che fanno leva sui bug delle web application presenti sui dispositivi, normalmente raggiungibili in remoto attraverso la porta 8080.

Il download del codice malevolo avviene grazie a uno ShellScript che sfrutta un server per scaricare e installare il payload, che una volta operativo comunica con i server Command and Control utilizzando tre diverse porte che cambiano a seconda del tipo di architettura del dispositivo. Nel caso di quelli basati su MIPS, per esempio, le porte utilizzate sono la 5184, 5784 e 4584.

Il nuovo modulo introdotto dai pirati consente la funzionalità di proxy che viene avviata selezionando una porta casuale e che viene modificata più volte nel corso di una giornata.

Secondo la ricostruzione effettuata dai ricercatori, nell’aprile 2018 i pirati hanno aggiunto anche una funzionalità di autenticazione.

Dopo aver monitorato per qualche mese l’attività della botnet sulle loro reti (CenturyLink è un’azienda di telecomunicazioni statunitense – ndr) gli analisti hanno individuato tutti i dispositivi coinvolti e sono riusciti ad abbattere la botnet.

Questo non esclude, specificano nel report, che ve ne sia una parte che sfrutta dispositivi collegati su altre reti o che in questo preciso momento non siano attive altre botnet con funzionalità simili.

Condividi l'articolo