Entradas

Moose virus

Investigadores de ESET han publicado recientemente un documento técnico donde analizan un nuevo gusano que infecta routers, con el objetivo de cometer fraudes en redes sociales. Después secuestrar las conexiones a Internet de las víctimas, el virus puede poner «Me gusta» en publicaciones y páginas, «ver» vídeos y «seguir» otras cuentas.

QUE ES MOOSE?

El malware, que los investigadores Olivier Bilodeau y Thomas Dupuy denominaron Linux / Moose, infecta los routers basados en Linux y otros tipos de dispositivos que funcionan con este sistema. Una vez infectados, esta amenaza busca y elimina otras infecciones de malware ya existentes para no tener competencia en el consumo de los recursos limitados de estos dispositivos y, seguidamente, busca otros routers para infectarlos.

moose-virus-como-funciona

Sin embargo, el gusano Moose no se basa en ninguna vulnerabilidad propia de estos dispositivos. Simplemente aprovecha las ventajas que ofrecen los dispositivos poco seguros para el uso de credenciales débiles de inicio de sesión.

AMENAZA PARA EL INTERNET DE LAS COSAS

Lamentablemente, esto significa que, además de los routers, también habría otros dispositivos que podrían verse afectados por este gusano como un daño colateral accidental. El equipo de ESET cree que incluso los dispositivos médicos, como las bombas de infusión de ciertas marcas, podrían resultar afectadas por el gusano Linux / Moose.

Sin embargo, las principales víctimas del gusano son los routers. Las siguientes marcas de dispositivos ya se identificaron como vulnerables: ACTIONTEC, Hik Vision, Netgear, Synology, TP-Link, ZyXEL y Zhone.

Esta preferencia por los routers es comprensible ya que son dispositivos permanentemente conectados a Internet que los usuarios instalan y después, en la mayoría de casos, no actualizan o ni siquiera cambian las contraseñas que vienen por defecto. Sin embargo, con la proliferación de dispositivos de todo tipo conectados a Internet no sería raro que los atacantes buscaran nuevos objetivos en un futuro cercano.

FINALIDAD DE MOOSE

El informe técnico de esta amenaza proporciona un análisis detallado del gusano Moose, los métodos que pueden emplear los usuarios para determinar si sus dispositivos están infectados, e instrucciones para la desinfección. Más importante aún, se proporcionan consejos de prevención para evitar la reinfección.

Sin embargo, probablemente el más interesante de todo sea tratar de comprender la finalidad con la que se creó el gusano Moose.

Durante la investigación, el equipo de ESET observó que el gusano creaba cuentas falsas en sitios como Instagram, y automáticamente seguía a los usuarios. En muchos casos, el incremento de seguidores se frenaba durante algunos días, tal vez para no hacer saltar los sistemas de alarma automatizados implementados por las redes sociales para identificar conductas sospechosas.

moose-redes-sociales

La triste realidad es que hay muchos individuos y empresas que se las ingenian para manipular su reputación en los medios sociales. A veces no se tienen reparos en contratar a terceros que les ofrecen un incremento en la cantidad de visualizaciones de un vídeo corporativo, añadir seguidores en Twitter o conseguir más fans de Facebook.

A menudo, estos «terceros» se ponen en contacto con otras empresas. El peligro radica en que puedan contratar criminales (quizás sin siquiera saberlo) con acceso a la botnet de routers infectados con Moose para llevar a cabo el fraude de medios sociales solicitado.

El hecho de que no se trate de fans o visualizaciones de vídeos «reales» probablemente pase desapercibido, o sea ocultado por los equipos de marketing deseosos de impresionar a sus jefes.

OTROS FINES MALICIOSOS

Además del fraude en las redes sociales, el papel de ESET también considera que el malware podría usarse potencialmente para realizar otras actividades, como ataques de denegación de servicio distribuido (DDoS), la exploración de redes específicas (donde trabaja arduamente para pasar los cortafuegos) y actividades de espionaje o secuestro de DNS (pudiendo conducir a sitios de phishing y otros ataques de malware).

Tampoco debemos olvidar otras posibilidades como, por ejemplo, utilizar los routers infectados como proxy y conectarse a través de ellos, haciendo más difícil la localización de los delincuentes.

CONCLUSIÓN

Una vez más, se les recomienda a los consumidores permanecer atentos, asegurarse de tener instalados los últimos parches de seguridad, y nunca utilizar las contraseñas predeterminadas o fáciles de adivinar en sus dispositivos conectados a Internet.

Per obtenir molta més informació sobre l’amenaça i la forma de protegir-te, llegeix el paper tècnic de l’equip d’experts de ESET «Dissecting Linux / Moose» (en anglès).

Artículo original del blog We Live Secutity de ESET

Heartbleed bug que es como afecta

Para resumir, Heartbleed es un error de software que hace muy vulnerable la librería OpenSSL, utilizada para proteger las conexiones seguras, y que comprometido seriamente desde 2012, la seguridad de dos tercios de páginas web existentes. A continuación te explicamos 4 cosas que hay que saber:

¿Qué es Heartbleed?

El Heartbleed Buf es una vulnerabilidad en la librería OpenSSL, concretamente se trata de un error de software en su método de encriptación de información. Este error fue encontrado por ingenieros de Google y Codenomicon la semana pasada, y el lunes pasado mismo, los responsables de OpenSSL sacaron a la luz el problema ya la vez una actualización que solucionaba el problema.

Esta error apareció el 14 de marzo de 2012, con la versión 1.0.1 de la librería, y se dice que afecta a dos tercios de las páginas publicadas en Internet.

¿Cómo me afecta?

Esta vulnerabilidad permite a los atacantes espiar las comunicaciones y suplantar identidades y así poder robar la información protegida (claves secretas que se utilizan para identificar a los proveedores de servicios y para cifrar el tráfico, los nombres y las contraseñas de los usuarios y el contenido real), bajo condiciones normales, por cifrado SSL / TLS utilizado para asegurar Internet.

Según la página web creada para explicar el incidente informático (Heartbleed.com) el error podía poner al alcance de cualquier hacker, el acceso a información privada y protegida a servidores que utilizan OpenSSL, como por ejemplo el popularísimo Apache, utilizado por la gran mayoría de páginas webs corporativas que disponen de un gestor de contenidos como WordPress, Joomla, Drupal, y tantos otros. Sin embargo, los usuarios poco pueden hacer para protegerse de este error, ya que dependerá de actualizar el software de las páginas.

¿Qué puedo hacer?

Realmente poco se puede hacer, ya que el problema está en los servidores y páginas que utilizan los usuarios. Es recomendable de todas formas, verificar que los servicios que se utilizan no son vulnerables y cambiar las contraseñas de los perfiles y herramientas utilizadas.

Existen también herramientas que permiten comprobar si las páginas utilizadas habitualmente pueden estar comprometidas o no. Un ejemplo es LastPass o filippo.io, donde sólo hay que introducir la URL de la página web que queramos y nos dice si ha podido estar comprometido por Heartbleed. Si utilizas Google Chrome, puedes instalar la extensión Chromebleed, que emite alertas si estamos navegando por alguna página afectada.

Algunas fuentes han observado que han aparecido grupos de hackers que utilizan herramientas sofisticadas para analizar automáticamente Internet, buscando servidores web que ejecuten OpenSSL vulnerables a robos de datos, como contraseñas, comunicaciones confidenciales y números de tarjetas de crédito.

¿Se han tomado medidas?

Representantes de Google, Facebook y Yahoo!, aseguró que se han tomado las medidas necesarias para suavizar el impacto que tendría este problema por los usuarios. Google por ejemplo, informa que se ha corregido el error y no es necesario cambiar las contraseñas. Por otro lado, Amazon asegura que su plataforma no ha sido afectada.

Desde Infordisa, hemos tomado las medidas necesarias para asegurar que nuestros servidores están protegidos y funcionando con la máxima fiabilidad. Sin embargo, si tienes alguna duda o quieres hacer cualquier consulta sobre el estado de tus servicios, nos tienes a tu disposición en el teléfono 977612073 o en el formulario de contacto.