Посетители нескольких сайтов знакомств были атакованы неизвестными хакерами, использовавшими разновидность вируса TheMoon. Как сообщили эксперты компании Damballa, вредоносная программа заражает маршрутизатор, вследствие чего инфицированное устройство становится частью ботнета. Специалисты выяснили, что всеми пятью сайтами владеет один и тот же человек.
Впервые информация о TheMoon появилась в феврале 2014 года. Вредоносное программное обеспечение преодолевает защиту, используя уязвимости в протоколе HNAP.
Вероятнее всего, киберпреступники привлекают своих жертв, используя вредоносную рекламу, наборы эксплоитов или фишинг. Инфицирование начинается с внедренного в веб-страницу вредоносного «плавающего фрейма».
С помощью различных URL-ссылок этот фрейм пытается выяснить, используется ли маршрутизатором протокол HNAP. После этого фрейм осуществляет загрузку второй URL-ссылки и самой вредоносной программы. В результате кибератаки некоторые входящие порты маршрутизатора невозможно будет использовать, а через исходящие порты будет происходить заражение других устройств.
Исследователи не смогли определить наличие связи TheMoon с каким-либо C&C-сервером, хотя соответствующий функционал был найден в исходном коде вредоносной программы. По мнению экспертов из Damballa, данный ботнет пока что проходит тестирование либо находится на ранней стадии развития.