Moose, gusano que infecta routers y al que le gustan las redes sociales

moose-623x425

Investigadores de ESET han publicado recientemente un paper técnico donde analizan un nuevo gusano que infecta routers, con el objetivo de cometer fraudes en redes sociales. Tras secuestrar las conexiones a Internet de las víctimas, la amenaza puede poner “Me gusta” en publicaciones y páginas, “ver” vídeos y “seguir” otras cuentas.

Analizando Moose

El malware, que los investigadores Olivier Bilodeau y Thomas Dupuy denominaron Linux/Moose, infecta los routers basados en Linux y otros tipos de dispositivos que funcionan con este sistema. Una vez infectados, esta amenaza busca y elimina otras infecciones de malware ya existentes para no tener competencia en el consumo de los recursos limitados de estos dispositivos y, seguidamente, busca otros routers para infectarlos.

moose_linux

Sin embargo, el gusano Moose no se basa en ninguna vulnerabilidad propia de estos dispositivos. Simplemente aprovecha las ventajas que ofrecen los dispositivos poco seguros debido al uso de credenciales débiles de inicio de sesión.

Amenaza para el Internet de las cosas

Lamentablemente, esto significa que, además de los routers, también habría otros dispositivos que podrían verse afectados por este gusano como un daño colateral accidental. El equipo de ESET cree que incluso los dispositivos médicos, como las bombas de infusión de ciertas marcas, podrían resultar afectadas por el gusano Linux/Moose.

No obstante, las principales víctimas del gusano son los routers. Las siguientes marcas de dispositivos ya se identificaron como vulnerables: Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXEL y Zhone.

Esta preferencia por los routers es comprensible puesto que son dispositivos permanentemente conectados a Internet que los usuarios instalan y luego, en la mayoría de casos, no actualizan o ni siquiera cambian las contraseñas que vienen por defecto. Sin embargo, con la proliferación de dispositivos de todo tipo conectados a Internet no sería extraño que los atacantes buscaran nuevos objetivos en un futuro cercano.

Finalidad de Moose

El informe técnico de esta amenaza proporciona un análisis detallado del gusano Moose, los métodos que pueden emplear los usuarios para determinar si sus dispositivos están infectados, e instrucciones para la desinfección. Más importante aún, se proporcionan consejos de prevención para evitar la reinfección.

Sin embargo, probablemente lo más interesante de todo sea tratar de comprender la finalidad con la que se creó el gusano Moose.

Durante la investigación, el equipo de ESET observó que el gusano creaba cuentas falsas en sitios como Instagram, y automáticamente seguía a los usuarios. En muchos casos, el incremento de seguidores se frenaba durante algunos días, quizá para no hacer saltar los sistemas de alarma automatizados implementados por las redes sociales para identificar conductas sospechosas.

moose_redes_sociales

La triste realidad es que hay muchos individuos y empresas que se las ingenian para manipular su reputación en los medios sociales. A veces no se tienen reparos en contratar a terceros que les ofrecen un incremento en la cantidad de visualizaciones de un vídeo corporativo, agregar seguidores en Twitter o conseguir más fans de Facebook.

Con frecuencia, estos “terceros” se ponen en contacto con otras empresas. El peligro reside en que puedan contratar a criminales (quizá sin siquiera saberlo) con acceso a la botnet de routers infectados con Moose para llevar a cabo el fraude de medios sociales solicitado.

El hecho de que no se trate de fans o visualizaciones de vídeos “reales” probablemente pase desapercibido, o sea ocultado por los equipos de marketing deseosos de impresionar a sus jefes.

Otras finalidades maliciosas posibles

Además del fraude en las redes sociales, el paper de ESET también considera que el malware podría usarse potencialmente para realizar otras actividades, como ataques de denegación de servicio distribuido (DDoS), la exploración de redes específicas (donde trabaja arduamente para pasar los firewalls) y actividades de espionaje o secuestro de DNS (pudiendo conducir a webs de phishing y a otros ataques de malware).

Tampoco debemos olvidar otras posibilidades como, por ejemplo, utilizar los routers infectados como proxy y conectarse a través de ellos, haciendo más difícil la localización de los delincuentes.

Conclusión

Una vez más, se les recomienda a los consumidores permanecer atentos, asegurarse de tener instalados los últimos parches de seguridad, y nunca usar las contraseñas predeterminadas o fáciles de adivinar en sus dispositivos conectados a Internet.

Para obtener mucha más información sobre la amenaza y la forma de protegerte, lee el paper técnico del equipo de expertos de ESET “Dissecting Linux/Moose” (en inglés).

Josep Albors a partir de un post de Graham Cluley en WeLiveSecurity

Vulnerabilidad reciente en Flash Player utilizada para propagar malware