3 Ноября 2016

ESET: операторы Moose зарабатывают на лайках

ESET предупреждает о возвращении Moose – вредоносной программы для Linux. Moose заражает домашние Wi-Fi роутеры и публичные точки доступа и затем перехватывает пароли от соцсетей пользователей, подключающихся к Сети.

Украденные данные Moose использует для мошенничества в соцсетях – рекламной накрутки с последующей монетизацией. Малварь может, в частности, раскрутить группу в Facebook, искусственно увеличить число просмотров видео на YouTube, нагнать подписчиков в Twitter и Instagram.

Опасность Moose в том, что скомпрометированные аккаунты теоретически могут использоваться для распространения в соцсетях ссылок на загрузку других вредоносных программ, включая банковские трояны и шифраторы.

В мае 2015 года ESET выпустила первое исследование червя Moose. После публикации отчета активность управляющего сервера снизилась, и малварь исчезла с радаров. Но примерно к сентябрю операторы доработали Moose и запустили новую версию.

Главное изменение Moose – маскировка местоположения управляющего сервера. Операторы усложнили структуру кода (и задачу исследователей), задав новый IP-адрес сервера в виде зашифрованного аргумента командной строки.

Moose по-прежнему распространяется путем подбора паролей к роутеру. Но если в прежней версии было «зашито» примерно 300 логинов и паролей, то новая ограничивается десятью самыми популярными: