Redazione RHC : 24 Agosto 2021 12:08
La botnet P2P di Mozi, che di solito si rivolge a vari dispositivi IoT, ha acquisito nuove funzionalità che le permettono di attaccare con successo i gateway di Netgear, Huawei e ZTE. Il malware è ora in grado di interferire con il traffico dei sistemi infetti utilizzando lo spoofing DNS e il dirottamento delle sessioni HTTP.
Sei un Esperto di Formazione?
Entra anche tu nel Partner program! Accedi alla sezione riservata ai Creator sulla nostra Academy e scopri i vantaggi riservati ai membri del Partner program.
Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]
Supporta RHC attraverso:
Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.
Una nuova variante di Mozi è stata scoperta dagli esperti Microsoft. Gli esperti hanno notato che i gateway di rete sono un bocconcino per gli aggressori, poiché tali dispositivi sono ideali come punti di accesso alle reti aziendali.
Mozi ora impiega “metodi intelligenti per mantenere una presenza sostenibile e specifica all’architettura di ciascun gateway”. Ciò consente agli operatori Mozi di evitare l’eliminazione del malware durante i riavvii e prolunga il tempo trascorso sui dispositivi infetti.
“Infettando i router, Mozi può eseguire attacchi come MitM, intercettazione HTTP e spoofing DNS, compromettendo gli endpoit, distribuendo ransomware e violando infrastrutture critiche”
avverte la società.
Ciò consente agli operatori Mozi di pianificare e organizzare attacchi di complessità maggiore rispetto ai DDoS convenzionali. In particolare, Microsoft segnala che Mozi sta distribuendo moduli su gateway di rete infetti che intercettano le richieste DNS e HTTP.
Di conseguenza, Mozi può dettare ai gateway infetti come rispondere alle query DNS per domini specifici e reindirizzare gli utenti a un server controllato dagli stessi aggressori. Inoltre, il malware può intercettare le sessioni HTTP e iniettare contenuti dannosi nel traffico delle vittime.
Questo comportamento può essere utilizzato, ad esempio, per eseguire in modo invisibile un reindirizzamento HTTP 301 che allontana l’utente da questo sito verso un’alternativa dannosa o per iniettare JavaScript dannoso in siti legittimi, che possono essere utilizzati per rubare password e intercettare sequenze di tasti.
Microsoft afferma che gli operatori Mozi usano password Telnet deboli per ottenere l’accesso a dispositivi vulnerabili e sfruttano circa 10 vulnerabilità note. Ma, sfortunatamente, i ricercatori non hanno fornito alcun dettaglio sulle vulnerabilità utilizzate dalla botnet e sui modelli di Netgear, Huawei e ZTE attaccati.
RedazioneA soli 13 anni, Dylan è diventato il più giovane ricercatore di sicurezza a collaborare con il Microsoft Security Response Center (MSRC), dimostrando come la curiosità e la perseveranza...
Secondo un nuovo rapporto del gruppo per i diritti umani Amnesty International, pubblicato dopo quasi due anni di ricerche sulla situazione, la Cambogia resta un punto caldo sulla mappa mondiale della...
Hunters International, il gruppo responsabile di uno dei più grandi attacchi ransomware degli ultimi anni, ha annunciato ufficialmente la cessazione delle sue attività. In una dichiarazione ...
I ricercatori di Okta hanno notato che aggressori sconosciuti stanno utilizzando lo strumento di intelligenza artificiale generativa v0 di Vercel per creare pagine false che imitano qu...
Google è al centro di un’imponente causa in California che si è conclusa con la decisione di pagare oltre 314 milioni di dollari agli utenti di smartphone Android nello stato. Una giu...
Copyright @ REDHOTCYBER Srl
PIVA 17898011006
