Binlerce Asus yönlendirici, yeni proxy hizmeti oluşturmak için kötü amaçlı yazılım tarafından ele geçirildi

Binlerce Asus yönlendirici, yeni proxy hizmeti oluşturmak için kötü amaçlı yazılım tarafından ele geçirildi
Binlerce eski, modası geçmiş Asus yönlendirici, “TheMoon” kötü amaçlı yazılım botnetinin yeni bir versiyonu tarafından hedef alınarak, suçlu bir konut proxy hizmeti tarafından kullanılan bir cihaz ağına dönüştürülüyor.

Black Lotus Labs araştırmacıları, kampanyanın Mart 2024 başında başladığını ve 72 saat içinde yaklaşık 6.000 Asus yönlendiricinin güvenliğini tehlikeye attığını iddia ediyor.

Bu yönlendiricilerin eski ve son kullanım tarihlerinin geçmiş olması, araştırmacıların bilgisayar korsanlarının kötü amaçlı yazılımı dağıtmak için büyük olasılıkla bilinen bir güvenlik açığını kötüye kullandıklarını tahmin etmelerine yol açıyor.

Asus yönlendiriciler virüs bulaşmış cihazların çoğunluğunu oluştursa da tek cihaz onlar değil. Black Lotus, botnet’e her hafta yaklaşık 7.000 yeni uç nokta eklendiğini söylüyor. Bu cihazlar dünyanın her yerinde bulunuyor, dolayısıyla belirli bir coğrafya tercih edilmemiş gibi görünüyor. Cihazlara sızmanın diğer yöntemleri arasında kaba kuvvet saldırıları ve kimlik bilgisi doldurma yer alıyor.
BleepingComputer, cihazlara virüs bulaştıktan sonra, bilgisayar korsanlarının çevrimiçi faaliyetlerini gizlemek için kullandıkları bilinen bir karanlık web aracı olan Faceless proxy hizmetinin bir parçası haline geldiklerini açıkladı. Faceless’ı kullanan gruplar arasında IcedID ve SolarMarker da bulunuyor.

Black Lotus, “Lumen’in küresel ağ görünürlüğü sayesinde Black Lotus Labs, 2024 Mart ayının ilk haftasında başlayan ve 72 saatten kısa bir süre içinde 6.000’den fazla ASUS yönlendiriciyi hedef alan bir kampanya da dahil olmak üzere Faceless proxy hizmetinin mantıksal haritasını belirledi” dedi.

Faceless’ın hizmetleriyle ilgilenen tehdit aktörleri yalnızca kripto para birimleriyle ödeme yapabiliyor ve kimliklerini doğrulamaları gerekmiyor. Dahası, her cihazın virüslü olduğu sürece sadece tek bir sunucuyla iletişim kurmasını sağlayarak altyapılarını gizli tutuyorlar. Enfeksiyonların üçte biri 50 günden fazla sürerken, yaklaşık %15’i iki gün içinde ortadan kaldırılıyor.