Снова червь Moose для Linux

Компания ESET сообщила о возвращении вредоносной программы для Linux под названием Moose, которая заражает домашние Wi-Fi роутеры и публичные точки доступа, перехватывает трафик и получает доступ к аккаунтам в соцсетях пользователей, подключающихся к интернету.

Украденные данные Moose использует для мошенничества в соцсетях – рекламной накрутки с последующей монетизацией. Он может, в частности, раскрутить группу в Facebook, искусственно увеличить число просмотров видео на YouTube, нагнать подписчиков в Twitter и Instagram. Опасность Moose в том, что скомпрометированные аккаунты теоретически могут использоваться для распространения в соцсетях ссылок на загрузку других вредоносных программ, включая банковские трояны и шифраторы.

В мае 2015 г. ESET выпустила первое исследование червя Moose. После публикации отчета активность управляющего сервера снизилась, и ПО исчезло из сети. Но затем операторы доработали Moose, запустив новую версию.

Главное изменение Moose – маскировка местоположения управляющего сервера. Операторы усложнили структуру кода, задав новый IP-адрес сервера в виде зашифрованного аргумента командной строки. Moose по-прежнему распространяется путем подбора паролей к роутеру, но если в прежней версии было «зашито» примерно 300 логинов и паролей, то новая ограничивается десятью самыми популярными, типа support, admin, quest, admin 1234. В обновленном Moose можно также активировать или выключать функции локального или внешнего сканирования, перехвата данных, аннулирования процесса.

Несмотря на то что в новой версии исправлены недостатки предыдущей, отмечают в ESET, червь Moose остается резидентной угрозой: чтобы избавиться от заражения, достаточно перезагрузить роутер. Для профилактики новых заражений рекомендуется установить на роутер сложный пароль.