В каталоге вредоносного ПО антивирусной компании ESET в начале июня было зафиксировано новое семейство вирусов — Linux/Moose. Цель атак этого вредоноса — сетевые и другие вспомогательные устройства — от DSL-модемов и домашних роутеров до систем видеонаблюдения и медицинских устройств с выходом в интернет, — которые, как правило, работают в среде Linux. Наибольшее распространение червь получил на сетевом оборудовании таких брендов как TP-Link, ZyXEL, Actiontec, Hik Vision, Netgear, Synology и Zhone.
Нередко полученный с помощью данного вируса контроль за чужим трафиком злоумышленники используют для формирования своих «серых» сетей с варьируемой IP- и DNS-адресацией, что позволяет им организовывать массированные кибератаки типа man-in-the-middle для всех типов веб-сервисов. Хозяевам такой «серой» сети удается неплохо зарабатывать, например, на продаже лайков от фиктивных подписчиков или накручивании посещаемости страниц в соцсетях Twitter, Facebook, Instagram, Youtube, Vine, Google+ и проч.
Для придания весомости массовым лже-аккаунтам, которые, например, «засвечиваются» при голосовании, червь привлекает и реальных пользователей, аккаунты которых он перехватывает из потока незашифрованных браузерных Cookie (HTTM) с последующей подменой настроек в DNS и перенаправлением пользователя на подставные сайты.
В программной среде взломанного устройства червь Moose первым делом для самосохранения копирует себя, и для предотвращения двойного заражения вешает на сетевой порт 10073 специальный обработчик. Затем — в пределах одной ISP-сети — вирус приступает к анализу транзитного трафика и сканированию случайных IP-адресов. И, в случае выявления какой-нибудь локальной адресации слабозащищенного устройства с открытым Telnet-портом, осуществляет для проникновения в программное ядро атаки, при которых включается алгоритм подбора пароля и параметров входа.
Эксперты ESET выяснили, что, к счастью, у вируса есть «слабое звено»: он не сохраняет себя в системе, и для его удаления достаточно просто перезагрузить устройство. Однако опасность может вернуться по сети из другого — не отключенного — зараженного аппарата.
.jpg)
.png)