(http://i.imgur.com/Oa7vSdB.jpg)
Linux/Moose. Breve descripción:Linux/Moose es una nueva amenaza informática que puede darte más de un quebradero de cabeza. Descubierto por investigadores de ESET, hablamos de un malware que afecta a los routers de uso doméstico (o de pequeñas empresas) basados en linux. Linux/Moose tiene en las redes sociales su principal objetivo. Una vez infectado el router, el dispositivo pasa a ser utilizado para robar tráfico de red sin cifrar, posibilitando su uso como proxys.
De esta forma y gracias a esta vulnerabilidad, los ciberdelincuentes tienen la posibilidad de robar cookies en las conexiones HTTP, pudiendo de esta forma realizar acciones fraudulentas en Facebook, Twitter, Instagram, YouTube y otras redes sociales con el objetivo es generar falsos seguidores, visitas y falsos "me gusta". Para los investigadores de ESET, Linux/Moose comparado con otros tipos de malware, muestra unas capacidades de penetración en routers fuera de lo común.
(...)
Hoy se publicó un paper de investigación titulado "
Dissecting Linux/Moose", donde se analiza una familia de malware que ataca principalmente los routers basados en Linux, pero que también puede infectar otros tipos de dispositivos con sistema Linux integrado que se le crucen en el camino. Este artículo resume algunas ideas del informe completo.
(http://i.imgur.com/qxqqF9X.jpg)
Características generales de Linux/MooseLinux/Moose es un archivo ejecutable estándar para Linux que tiene la forma de un
binario ELF compilado en forma estática, al que se le quitaron todos los símbolos de depuración. Su funcionamiento se basa esencialmente en el uso de subprocesos múltiples, llegando a emplear unos 36 subprocesos. Puede clasificarse como un
gusano, dado que el propósito de la mayoría de sus subprocesos es encontrar otros dispositivos e infectarlos automáticamente.
El siguiente diagrama muestra las funcionalidades de Moose:
(http://i.imgur.com/rH2xIVb.jpg)
El monitoreo que hicimos de la
botnet indica que esta amenaza se usa para robar
cookies HTTP no cifradas en sitios de redes sociales populares y para cometer fraudes, como por ejemplo usar una conexión
SOCKS integrada en el
malware para contactarse con un servidor proxy y así "seguir" cuentas o "ver" videos de estas redes populares.
(http://i.imgur.com/kgUOCGd.jpg)
Éste es un ejemplo proveniente de una solicitud HTTP que atravesaba el
proxy operado por el
malware:(http://i.imgur.com/hXiEtBx.png)
Cabe notar que el servidor actualiza la conexión a HTTPS de inmediato. Casi todo el tráfico está
cifrado con HTTPS, por lo que no podemos asegurar con precisión qué acciones realizaron los operadores.
Al monitorear durante un mes uno de los hosts infectados, notamos que el tráfico se dirigía a los siguientes sitios de redes sociales:
-Fotki (Yandex)-Instagram (Facebook)-Live (Microsoft)-Soundcloud-Twitter-Vine-Yahoo-Youtube (Google)El dominio de la red social afectada aparece en el
campo "Subject" del certificado, en el protocolo
handshake de TLS para el tráfico seguro HTTPS.
Las siguientes son las
peticiones que se envían a diario a sitios de redes sociales desde un solo
router infectado:
(http://i.imgur.com/U30xRlI.png)
A continuación se ilustra cuáles fueron
las redes sociales más afectadas en dicho período:
(http://i.imgur.com/TFLsHc1.png)
Durante nuestro análisis, con frecuencia nos preguntábamos: ¿para qué poner tanto esfuerzo en interactuar con las redes sociales? Pero, por supuesto,
existe un mercado para comprar seguidores de Twitter, Me Gusta de Facebook, visualizaciones de YouTube, entre muchas otras cosas más. Los operadores de esta
botnet generan ganancias mediante los
fraudes de redes sociales. Gracias a los
routers infectados, pueden
distribuir tráfico malicioso a través de las redes sociales aprovechando la buena reputación de las direcciones IP de proveedores de servicios de Internet (ISP) confiables.
Esta amenaza en particular tiene una capacidad fuera de lo común para introducirse en las redes, al compararla con otros códigos maliciosos que infectan
routers. Además,
Moose es capaz de secuestrar DNS y detiene los procesos de otras familias de malware presentes en el dispositivo, que puedan competir por los recursos limitados que ofrece el sistema infectado. El informe completo suministra más detalles, incluyendo el protocolo de red utilizado para comunicarse con los servidores de
Comando y Control (C&C).Código desarrollado para la investigación, indicadores de sistemas comprometidos y másAdemás del
whitepaper, también estamos publicando otros recursos para la comunidad. En primer lugar, decidimos divulgar el código completo desarrollado para monitorear esta amenaza en nuestra cuenta de
Github para investigación de malware. No creemos que sea muy útil guardarnos los scripts solo para nosotros. Aunque este código se creó en un laboratorio de investigación y no está tan pulido como el código final que incluimos en nuestros productos terminados, esperamos que les sirva a nuestros pares de la industria, a la comunidad de Linux y a los futuros analistas de
malware. github: https://github.com/eset/malware-research/tree/master/moose/ (https://github.com/eset/malware-research/tree/master/moose/)
(...)
DesinfecciónReinicia el dispositivo afectado y luego cambia tu contraseña lo antes posible. Sin embargo, recuerda que los operadores accedían al sistema infectado a través de credenciales que eran de su conocimiento, que también sabían su dirección IP y que contaban con los medios para acceder a su consola interactiva.
Es posible que hayan accedido en forma manual, lo que significa que pueden volver a infectar el dispositivo y pueden hacer modificaciones permanentes en el
firmware. Lo mejor probablemente sea restablecer la configuración del dispositivo a su versión de fábrica, actualizar o reinstalar el
firmware y cambiar la contraseña.
PrevenciónCambia las contraseñas predeterminadas en los equipos de red aunque no se pueda acceder a ellos desde Internet. Deshabilita el protocolo Telnet para inicio de sesión y utiliza SSH siempre que sea posible.
Asegúrate de que no se pueda acceder a tu
router desde Internet en los puertos 22 (SSH), 23 (Telnet), 80 (HTTP) y 443 (HTTPS). Si no sabes cómo hacerlo, cuando estés en casa,
usa la exploración de puertos comunes ("common ports") en el servicio ShieldsUP de GRC.com. Verifica que los puertos mencionados arriba tengan el estado "Stealth" (oculto) o "Closed" (cerrado).
También se recomienda tener el último
firmware que ofrece el fabricante de tu dispositivo con Linux integrado.
Fuentes: muypymes.com; welivesecurity.com
Interesante... como avanza el malware ;D