L’équipe de recherche en sécurité FAI Américain de CenturyLink ont découvert qu’un de Tes botnet est l’utilisation de proxy de la circulation pour une vidéo YouTube ad fraude.
Les chercheurs ont fait cette découverte alors qu’il enquêtait sur une de Tes botnet connu comme TheMoon, qui a d’abord commencé à faire le suivi après observation de plusieurs CenturyLink appareils effectuant des informations d’identification force brute des attaques contre des sites web populaires.
Une enquête sur ces appareils ont révélé que les infections avec le TheMoon IoT les logiciels malveillants, et plus tard également révélé l’existence d’un jamais-avant-vu module conçu pour transformer infectés routeurs et de Tes périphériques dans procurations de la mauvaise circulation.
TheMoon botnet n’est pas nouveau. Il a été autour depuis 2014, et c’est le principal mode de l’infection a été en utilisant les exploits de prendre le contrôle sur vulnérables routeurs et de Tes appareils.
Dans ses premiers jours, le botnet a été principalement utilisé pour les attaques DDoS, mais au cours des dernières années, le botnet a passé relativement calme sur DDoS radars, conduisant de nombreux experts de croire que le botnet opérateurs avaient changé le botnet d’un DDoS canon à un réseau de proxy.
Cela a été confirmé au début de 2018, lorsque des chercheurs de Qihoo 360 Netlab trouvé un premier module de proxy. Maintenant, CenturyLink de l’équipe de recherche ont trouvé un autre jamais-avant-vu de module qui confirme TheMoon de l’évolution de DDoS menace à un réseau de proxy pour d’autres groupes criminels.
Basé sur les résultats disponibles, TheMoon semble opérer comme suit:
Botnet les opérateurs utilisent les exploits d’infecter des routeurs/IoT appareils avec le TheMoon malwareTheMoon téléchargements de logiciels malveillants supplémentaires proxy moduleModule ouvre un proxy SOCKS5 infectés devicesTheMoon opérateurs de louer l’accès à ces proxiesOther pénale groupes louer un morceau de robots et d’envoyer des instructions aux procurations qui sont infectés sur quelle Url pour accéder à.
Selon CenturyLink, dans la dernière année, TheMoon botnet a été utilisé pour les attaques en force, des informations d’identification de la farce attaques, pour la publicité de la fraude, le trafic général de dissimulation, et plus encore.
Dans un rapport publié aujourd’hui, CenturyLink chercheurs profondément plongé dans celui de la publicité des fraudes ils ont vu réalisées avec TheMoon-infectés.
Cela a été possible après l’identification de 24 de commande et de contrôle des serveurs TheMoon robots connectés et reçu des instructions. Les Experts ont dit TheMoon opérateurs gauche un port de service exposés en ligne qui vomie de données de journal à partir de ces serveurs C&C, ce qui leur permet d’espionner son fonctionnement.
“Chaque serveur en moyenne envoyé sept messages par seconde”, a déclaré le CenturyLink Menace de Laboratoires de Recherche. “Au sein de chaque journal il y a un domaine et URL, ce qui est censé représenter une navigation sur demande faite à la procuration. L’un de six heures sur une période de temps à partir d’un seul serveur a entraîné une demande à 19.000 Url uniques sur les 2 700 domaines uniques.”
“Après la navigation de certains de l’Url, il était évident qu’ils avaient tous intégré les vidéos de YouTube,” chercheur dit.
Le FAI vient de trouver après le FBI, Google, et 20 tech partenaires de l’industrie ont arrêté un géant de la publicité fraude réseau nommé 3ve l’automne dernier.
Sur une drôle de note côté, TheMoon est aussi le botnet qui, à un point infecté des routeurs à la maison par le leurre des utilisateurs réguliers d’internet sur les sites de rencontres pour adultes. Possibilité de code caché dans ces sites appel à des adresses IP locales, connus pour être affectés à des routeurs à la maison, et essayer d’infecter les routeurs avec TheMoon malware alors que l’utilisateur a la navigation sur le site.
Plus de la couverture de sécurité:
Les pirates vont après Cisco RV320/RV325 routeurs à l’aide d’un nouveau exploitDOJ se déplace à prendre vers le bas de Joanap botnet exploités par l’etat Nord-coréen hackersAuthorities arrêter xDedic marché pour l’achat piraté serversJapanese les plans du gouvernement pour pirater des citoyens de Tes appareils
DailyMotion divulgue des informations d’identification de la farce attackInternet expérience se passe mal, prend vers le bas un tas de Linux routersCalifornia gouverneur signes du pays d’abord l’Ido en droit de la sécurité CNET
Comment les informations d’identification de la farce contribué à 8.3 B malveillants botnet connexions au début de 2018 TechRepublic
Rubriques Connexes:
L’Internet des objets
De sécurité de la TÉLÉVISION
La Gestion Des Données
CXO
Les Centres De Données