Исследователи безопасности американского интернет-провайдера CenturyLink обнаружили ботнет из устройств «Интернета вещей» (IoT), который злоумышленники используют для проксирования трафика в мошеннической схеме с рекламой на YouTube. Интерес заключается в том, что это, кажется, первое прагматичное коммерческое применение системы, ранее использовавшейся для DDoS.
Ботнет TheMoon известен исследователям еще с 2014 года. Специалисты выявили мошенническую схему во время анализа ботнета TheMoon, в который попали некоторые устройства CenturyLink. Устройства осуществляли брутфорс-атаки на популярные сайты, и оказалось, что они были заражены вредоносным ПО TheMoon, однако вооружившимся совершенно новым модулем, которого CenturyLink раньше не видели.
Раньше TheMoon заражал маршрутизаторы и IoT-устройства с помощью эксплоитов для известных уязвимостей, а еще раньше он использовался для осуществления DDoS-атак, однако в последние годы стал исчезать с DDoS-сцены. Теперь ясно, куда делись его накопленные мощности — пошли в коммерцию. Для этого TheMoon заражает уязвимое устройство и загружает на него дополнительный модуль, открывающий на зараженном устройстве прокси SOCKS5, доступ к которому операторы вредоноса продают другим киберпреступникам.
Ботнеты в наше время нередко меняют специализацию или полностью переориентируются на какой-то конкретный сектор: так, в ноябре аналитическая фирма DoubleVerify сообщила, что ее сотрудникам впервые удалось вычленить и распознать новый, ранее не известный ботнет , который нацелен исключительно на подключенные к интернету телевизоры (CTV) или умные ТВ.