imágenes falsas
Los delincuentes están trabajando horas extras para hacer anónimas sus actividades ilícitas en línea utilizando miles de dispositivos de usuarios desprevenidos, como lo demuestran dos informes no relacionados publicados el martes.
El primero, de la firma de seguridad Lumen Labs, informa que aproximadamente 40.000 enrutadores domésticos y de oficina han sido reclutados por una empresa criminal que anonimiza actividades ilícitas en Internet, y que se agregan otros 1.000 nuevos dispositivos cada día. El malware responsable es una variante de La luna, una familia de códigos maliciosos que se remonta al menos a 2014. En sus inicios, TheMoon infectaba casi exclusivamente los enrutadores de la serie Linksys E1000. A lo largo de los años diversificado para apuntar a los Asus WRT, las cámaras de red Vivotek y múltiples modelos D-Link.
En los años posteriores a su debut, el comportamiento de autopropagación de TheMoon y su creciente capacidad para comprometer una amplia base de arquitecturas permitieron una curva de crecimiento que captó la atención en los círculos de seguridad. Más recientemente, la visibilidad de la botnet de Internet de las cosas disminuyó, lo que llevó a muchos a suponer que era inerte. Para sorpresa de los investigadores d el Black Lotus Lab de Lumen, durante un solo período de 72 horas a principios de este mes, TheMoon agregó 6.000 enrutadores ASUS a sus filas, una indicación de que la botnet es más fuerte que nunca.
Más sorprendente que el descubrimiento de más de 40.000 enrutadores infectados para pequeñas oficinas y oficinas domésticas ubicados en 88 países es la revelación de que TheMoon está inscribiendo la gran mayoría de los dispositivos infectados en Faceless, un servicio vendido en foros sobre delitos en línea para anonimizar actividades ilícitas. El servicio proxy obtuvo una amplia atención el año pasado tras este perfil por KrebsOnSecurity.
“Esta red global de enrutadores SOHO comprometidos brinda a los actores la capacidad de eludir algunas herramientas de detección estándar basadas en la red, especialmente aquellas basadas en geolocalización, bloqueo basado en sistemas autónomos o aquellas que se centran en el bloqueo TOR”, investigadores de Black Lotus. escribió el martes. Agregaron que “el 80 por ciento de los bots Faceless están ubicados en los Estados Unidos, lo que implica que las cuentas y organizaciones dentro de los EE. UU. son los objetivos principales. Sospechamos que la mayor parte de la actividad delictiva probablemente sea la pulverización de contraseñas y/o la filtración de datos, especialmente hacia el sector financiero”.
Los investigadores continuaron diciendo que las formas más tradicionales de anonimizar el comportamiento ilícito en línea pueden haber perdido el favor de algunos delincuentes. Las VPN, por ejemplo, pueden registrar la actividad del usuario a pesar de que algunos proveedores de servicios afirmen lo contrario. Los investigadores dicen que la posibilidad de alterar el navegador anónimo Tor también puede haber ahuyentado a algunos usuarios.
La segunda publicación provino de Satori Intelligence, el brazo de investigación de la firma de seguridad HUMAN. Informó haber encontrado 28 aplicaciones disponibles en Google Play que, sin que los usuarios lo supieran, inscribieron sus dispositivos en una red proxy residencial de 190.000 nodos en su punto máximo para anonimizar y ofuscar el tráfico de Internet de otros.
HUMANO
ProxyLib, el nombre que Satori le dio a la red, tiene sus raíces en Oko VPN, una aplicación que fue eliminada de Play el año pasado después de ser revelada. Uso de dispositivos infectados para fraude publicitario.. Las 28 aplicaciones que Satori descubrió copiaron el código VPN de Oko, lo que las convirtió en nodos en el servicio de proxy residencial Asock.
HUMANO
Los investigadores identificaron una segunda generación de aplicaciones ProxyLib desarrolladas a través de lumiapps.[.]io, un kit de desarrollo de software que implementa exactamente la misma funcionalidad y utiliza la misma infraestructura de servidor que Oko VPN. El SDK de LumiApps permite a los desarrolladores integrar su código personalizado en una biblioteca para automatizar procesos estándar. También permite a los desarrolladores hacerlo sin tener que crear una cuenta de usuario ni tener que volver a compilar el código. En su lugar, pueden cargar su código personalizado y luego descargar una nueva versión.
HUMANO
“Satori ha observado a personas que utilizan el kit de herramientas LumiApps en la naturaleza”, escribieron los investigadores. “La mayoría de las aplicaciones que identificamos entre mayo y octubre de 2023 parecen ser versiones modificadas de aplicaciones legítimas conocidas, lo que indica además que los usuarios no necesariamente necesitan tener acceso al código fuente de las aplicaciones para poder modificarlas utilizando LumiApps. Estas aplicaciones se denominan en gran medida ‘mods’ o se indican como versiones parcheadas y se comparten fuera de Google Play Store”.
Los investigadores no saben si los 190.000 nodos que componían Asock en su apogeo estaban formados exclusivamente por dispositivos Android infectados o si incluían otro tipo de dispositivos comprometidos por otros medios. De cualquier manera, el número indica la popularidad de los servidores proxy anónimos.
Las personas que quieran evitar que sus dispositivos sean arrastrados a dichas redes deben tomar algunas precauciones. La primera es resistir la tentación de seguir usando dispositivos una vez que ya no sean compatibles con el fabricante. La mayoría de los dispositivos arrastrados por TheMoon, por ejemplo, han llegado al final de su vida útil, lo que significa que ya no reciben actualizaciones de seguridad. También es importante instalar actualizaciones de seguridad de manera oportuna y deshabilitar UPnP a menos que haya una buena razón para permanecer activado y luego permitirlo solo para los puertos necesarios. Los usuarios de dispositivos Android deben instalar aplicaciones con moderación y sólo después de investigar la reputación tanto de la aplicación como del fabricante de la misma.