Il team di Black Lotus Labs di Lumen Technologies ha portato alla luce una campagna che sfrutta router e dispositivi IoT obsoleti attraverso il malware aggiornato “TheMoon”. Questa minaccia silenziosa, originata nel 2014, ha costruito una rete di oltre 40.000 bot in 88 paesi. Il principale utilizzo di questi bot è legato al servizio proxy “Faceless”, noto per essere utilizzato per fini criminali.
Dettagli della campagna
La campagna mira ai dispositivi non più supportati, sfruttando la loro vulnerabilità per inglobarli nella rete Faceless. Black Lotus Labs ha tracciato l’espansione di Faceless, rilevando un incremento di circa 7.000 nuovi utenti settimanali. Un attacco mirato ha coinvolto oltre 6.000 router ASUS in soli tre giorni all’inizio di marzo 2024.
Connessione con Faceless
L’analisi ha rivelato che TheMoon potrebbe essere il principale fornitore di bot per Faceless, enfatizzando il ruolo del malware nella crescita del servizio proxy. Questo servizio viene utilizzato per mantenere l’anonimato durante attività illecite, sfruttando la rete di dispositivi compromessi. Tra le vittime delle operazioni condotte tramite Faceless, figurano le botnet SolarMarker e IcedID.
Cos’è il servizio proxy malware faceless?
Il malware proxy “Faceless” è un servizio basato su malware che negli ultimi sette anni ha offerto anonimato a innumerevoli cybercriminali. Questo servizio sfrutta dispositivi infetti, come router e altri dispositivi IoT, per creare una rete di proxy che i criminali informatici possono utilizzare per nascondere la loro identità e la loro posizione reale durante l’esecuzione di attività illecite su Internet.
Faceless si distingue per il suo approccio sofisticato nell’usare i dispositivi compromessi come nodi in una vasta rete di proxy, rendendo estremamente difficile per le autorità e i ricercatori di sicurezza tracciare l’origine delle attività malevole. Questa rete di dispositivi infetti offre ai cybercriminali un modo efficace per eludere le misure di sicurezza e di rilevamento, aumentando la complessità e la sfida nel contrastare tali minacce.
Il servizio Faceless dimostra la crescente sofisticazione delle operazioni dei cybercriminali e l’importanza per individui e organizzazioni di mantenere aggiornati e sicuri i propri dispositivi per evitare di diventare parte involontaria di queste reti illecite. La lotta contro servizi come Faceless richiede un impegno costante nel campo della cybersecurity e nella collaborazione tra enti di ricerca, aziende e istituzioni governative.
Risposta di Lumen
Per contrastare questa minaccia, Lumen Technologies ha interrotto tutto il traffico relativo all’infrastruttura dedicata a Faceless e TheMoon sulla propria rete globale. Vengono inoltre forniti gli indicatori di compromissione per supportare la comunità nella lotta contro questa e altre campagne di cybercriminalità.
