Moose вернулся, замаскировав местоположение управляющего сервера

Эксперты ESET предупреждают о возвращении Moose — вредоносной программы для Linux. Moose заражает домашние Wi-Fi-роутеры и публичные точки доступа, перехватывает трафик и получает доступ к аккаунтам пользователей соцсетей, подключающихся к интернету. Украденные данные Moose использует для рекламной раскрутки групп, пользователей, видеозаписей в таких социальных сетях, как Facebook, YouTube, Twitter, Instagram, с последующей монетизацией.


Опасность Moose в том, что скомпрометированные аккаунты теоретически могут использоваться для распространения в соцсетях ссылок на загрузку других вредоносных программ, включая банковские троянцы и шифраторы.


Напомним, в мае 2015 года ESET выпустила первое исследование червя Moose, после чего активность управляющего сервера снизилась до нуля, но примерно к сентябрю операторы доработали Moose и запустили новую версию. Главное изменение Moose — маскировка местоположения управляющего сервера. Операторы усложнили структуру кода, задав новый IP-адрес сервера в виде зашифрованного аргумента командной строки.


Moose по-прежнему распространяется путем подбора паролей к роутеру. Но если в прежней версии было «зашито» примерно 300 логинов и паролей, то новая ограничивается десятью самыми популярными. В обновленном Moose можно активировать или выключать функции локального или внешнего сканирования, перехвата данных, аннулирования процесса.


Чтобы избавиться от заражения Moose, достаточно перезагрузить роутер. Для профилактики новых заражений рекомендуется установить на роутер нетривиальный пароль.

Поделиться с друзьями
ASTERA