Los investigadores de seguridad de We Live Security han estado investigando el funcionamiento de una nueva amenaza, Moose, creada especialmente para infectar routers basados en Linux alrededor de todo el mundo.
El principal objetivo del gusano Moose son los routers que
funcionan con un sistema basado en el kernel de Linux (OpenWRT, DD-WRT, Tomato
y muchos firmwares privativos de fabricantes) aunque también es capaz de
infectar cualquier otro dispositivo que utilice un sistema operativo basado en
Linux que pueda encontrar en su camino como smartphones, dispositivos DVR,
ordenadores, cámaras IP, etc.
Moose se distribuye como un ejecutable convencional para Linux
en forma de binario ELF. Este gusano crea automáticamente 36 procesos en los
dispositivos que infecta. La mayoría de estos procesos están diseñados
especialmente para infectar a otros dispositivos que se conecten a la misma red
y poder tener así una mayor actividad.
Los procesos que no son utilizados para infectar otros equipos
se centran principalmente en el robo de paquetes y cookies HTTP no cifradas que
puedan contener información personal sobre los usuarios como datos bancarios,
credenciales de acceso, etc. Este gusano también conecta con un servidor Proxy
para visitar cuentas sociales o cargar vídeos de YouTube y otras plataformas y
así obtener remuneración económica, aumentar el número de visitar y ganar
protagonismo en estas redes sociales.
Las principales páginas sociales que carga este malware a
través del proxy son:
- Fotki
- Microsoft Live
- Soundcloud
- Vine
- Yahoo
- YouTube
El malware analiza también la memoria del dispositivo
infectado y es capaz de identificar y bloquear otras piezas de malware que
puedan estar presentes en él de manera que garantice siempre el 100% de los
recursos para él.
Cómo eliminar Moose de nuestro router y prevenir su
infección
- Si ya hemos sido infectados por este gusano lo más recomendable de momento es resetear la configuración y cambiar la contraseña de acceso lo antes posible, sin embargo, es posible que el gusano haya cambiado algún aspecto del firmware y siga estando presente. Si es posible también debemos borrar y reinstalar el firmware por completo para garantizar su eliminación.
- Igualmente para evitar infectarnos debemos cambiar las contraseñas de nuestras principales redes sociales así como deshabilitar la administración remota del router a través de los protocolos SSH, Telnet, HTTP y HTTPS para que Moose no pueda comunicarse con su centro de control.