Moose: un gusano que ataca routers y dispositivos Linux

Escrito por Rubén Velasco
Routers

Aunque no es muy habitual ver malware instalado en routers nunca debemos olvidar que estos dispositivos de red son los que más datos controlan, desde las webs que visitamos hasta todos los credenciales que viajan desde nuestro PC al servidor remoto. Los investigadores de seguridad de We Live Security han estado investigando el funcionamiento de una nueva amenaza, Moose, creada especialmente para infectar routers basados en Linux alrededor de todo el mundo.

El principal objetivo del gusano Moose son los routers que funcionan con un sistema basado en el kernel de Linux (OpenWRT, DD-WRT, Tomato y muchos firmwares privativos de fabricantes) aunque también es capaz de infectar cualquier otro dispositivo que utilice un sistema operativo basado en Linux que pueda encontrar en su camino como smartphones, dispositivos DVR, ordenadores, cámaras IP, etc.

moose_linux

Moose se distribuye como un ejecutable convencional para Linux en forma de binario ELF. Este gusano crea automáticamente 36 procesos en los dispositivos que infecta. La mayoría de estos procesos están diseñados especialmente para infectar a otros dispositivos que se conecten a la misma red y poder tener así una mayor actividad.

Los procesos que no son utilizados para infectar otros equipos se centran principalmente en el robo de paquetes y cookies HTTP no cifradas que puedan contener información personal sobre los usuarios como datos bancarios, credenciales de acceso, etc. Este gusano también conecta con un servidor Proxy para visitar cuentas sociales o cargar vídeos de YouTube y otras plataformas y así obtener remuneración económica, aumentar el número de visitar y ganar protagonismo en estas redes sociales.

moose_funcionamiento

Las principales páginas sociales que carga este malware a través del proxy son:

  • Fotki
  • Instagram
  • Microsoft Live
  • Soundcloud
  • Twitter
  • Vine
  • Yahoo
  • YouTube

redes_sociales_afectadas-guscano_moose_foto

Al día se pueden llegar a enviar más de 1500 solicitudes a las webs anteriores desde un router infectado. También secuestra las DNS del router y monitoriza así todas las conexiones que el usuario genera y que intentan salir a Internet, registrándose todas ellas en el servidor remoto de control,

El malware analiza también la memoria del dispositivo infectado y es capaz de identificar y bloquear otras piezas de malware que puedan estar presentes en él de manera que garantice siempre el 100% de los recursos para él.

Cómo eliminar Moose de nuestro router y prevenir su infección

Si ya hemos sido infectados por este gusano lo más recomendable de momento es resetear la configuración y cambiar la contraseña de acceso lo antes posible, sin embargo, es posible que el gusano haya cambiado algún aspecto del firmware y siga estando presente. Si es posible también debemos borrar y reinstalar el firmware por completo para garantizar su eliminación.

Igualmente para evitar infectarnos debemos cambiar las contraseñas de nuestras principales redes sociales así como deshabilitar la administración remota del router a través de los protocolos SSH, Telnet, HTTP y HTTPS para que Moose no pueda comunicarse con su centro de control.

¿Te has encontrado alguna vez con alguna amenaza similar a Moose? ¿Crees que el malware es cada vez más complejo?

Fuente: We Live Security

Quizá te interese:


Últimos análisis

Valoración RZ
8
Valoración RZ
9
Valoración RZ
9
Valoración RZ
10
Valoración RZ
9
Valoración RZ
10
Valoración RZ
7
Valoración RZ
9
Valoración RZ
10