Entrades

Investigadors de ESET han publicat recentment un document tècnic on analitzen un nou cuc que infecta routers, amb l’objectiu de cometre fraus en xarxes socials. Després segrestar les connexions a Internet de les víctimes, el virus pot posar “M’agrada” a publicacions i pàgines, “veure” vídeos i “seguir” altres comptes.

QUÈ ÉS MOOSE?

El malware, que els investigadors Olivier Bilodeau i Thomas Dupuy van denominar Linux/Moose, infecta els routers basats en Linux i altres tipus de dispositius que funcionen amb aquest sistema. Un cop infectats, aquesta amenaça busca i elimina altres infeccions de malware ja existents per no tenir competència en el consum dels recursos limitats d’aquests dispositius i, seguidament, busca altres routers per infectar-los.

moose-virus-com-funciona

No obstant això, el cuc Moose no es basa en cap vulnerabilitat pròpia d’aquests dispositius. Simplement aprofita els avantatges que ofereixen els dispositius poc segurs per l’ús de credencials febles d’inici de sessió.

AMENAÇA PER AL INTERNET DE LES COSES

Lamentablement, això significa que, a més dels routers, també hi hauria altres dispositius que es podrien veure afectats per aquest cuc com un dany col·lateral accidental. L’equip d’ESET creu que fins i tot els dispositius mèdics, com les bombes d’infusió de certes marques, podrien resultar afectades pel cuc Linux / Moose.

No obstant això, les principals víctimes del cuc són els routers. Les següents marques de dispositius ja es van identificar com a vulnerables: ACTIONTEC, Hik Vision, Netgear, Synology, TP-Link, ZyXEL i Zhone.

Aquesta preferència pels routers és comprensible ja que són dispositius permanentment connectats a Internet que els usuaris instal·len i després, en la majoria de casos, no actualitzen o ni tan sols canvien les contrasenyes que vénen per defecte. No obstant això, amb la proliferació de dispositius de tot tipus connectats a Internet no seria estrany que els atacants busquessin nous objectius en un futur proper.

FINALITAT DE MOOSE

L’informe tècnic d’aquesta amenaça proporciona una anàlisi detallada del cuc Moose, els mètodes que poden emprar els usuaris per determinar si els seus dispositius estan infectats, i instruccions per a la desinfecció. Més important encara, es proporcionen consells de prevenció per evitar la reinfecció.

No obstant això, probablement el més interessant de tot sigui tractar de comprendre la finalitat amb la qual es va crear el cuc Moose.

Durant la investigació, l’equip de ESET va observar que el cuc creava comptes falses en llocs com Instagram, i automàticament seguia als usuaris. En molts casos, l’increment de seguidors es frenava durant alguns dies, potser per no fer saltar els sistemes d’alarma automatitzats implementats per les xarxes socials per identificar conductes sospitoses.

moose-redes-sociales

La trista realitat és que hi ha molts individus i empreses que se les empesquen per manipular la seva reputació en els mitjans socials. A vegades no es tenen objeccions a contractar a tercers que els ofereixen un increment en la quantitat de visualitzacions d’un vídeo corporatiu, afegir seguidors a Twitter o aconseguir més fans de Facebook.

Sovint, aquests “tercers” es posen en contacte amb altres empreses. El perill rau en què puguin contractar criminals (potser sense si més no saber-ho) amb accés a la botnet de routers infectats amb Moose per dur a terme el frau de mitjans socials sol·licitat.

El fet que no es tracti de fans o visualitzacions de vídeos “reals” probablement passi desapercebut, o sigui ocultat pels equips de màrqueting desitjosos d’impressionar als seus caps.

ALTRES FINALITATS MALICIOSES POSSIBLES

A més del frau en les xarxes socials, el paper d’ESET també considera que el malware podria usar-se potencialment per realitzar altres activitats, com atacs de denegació de servei distribuït (DDoS), l’exploració de xarxes específiques (on treballa àrduament per passar els tallafocs) i activitats d’espionatge o segrest de DNS (podent conduir a webs de phishing ia altres atacs de malware).

Tampoc hem d’oblidar altres possibilitats com, per exemple, utilitzar els routers infectats com a proxy i connectar-se a través d’ells, fent més difícil la localització dels delinqüents.

CONCLUSIÓ

Un cop més, se’ls recomana als consumidors romandre atents, assegurar-se tenir instal·lats els últims pedaços de seguretat, i mai fer servir les contrasenyes predeterminades o fàcils d’endevinar en els seus dispositius connectats a Internet.

Per obtenir molta més informació sobre l’amenaça i la forma de protegir-te, llegeix el paper tècnic de l’equip d’experts de ESET “Dissecting Linux / Moose” (en anglès).

Artícle original del blog We Live Secutity de ESET

Per resumir, Heartbleed és un error de software que fa molt vulnerable la llibreria OpenSSL, utilitzada per protegir les connexions segures, i que compromès seriosament des de 2012, la seguretat de dos terços de pàgines web existents. Tot seguit t’expliquem 4 coses que cal saber-ne:

Què és Heartbleed?

El Heartbleed Buf és una vulnerabilitat a la llibreria OpenSSL, concretament es tracta d’un error de software en el seu mètode d’encriptació d’informació. Aquest error va ser trobat per enginyers de Google i Codenomicon la setmana passada, i el dilluns passat mateix, els responsables d’OpenSSL van treure a la llum el problema i a la vegada una actualització que solucionava el problema.

Aquesta error va aparèixer el 14 de març del 2012, amb la versió 1.0.1 de la llibreria, i es diu que afecta a dos terços de les pàgines publicades a Internet.

Com  m’afecta?

Aquesta vulnerabilitat permet als atacants espiar les comunicacions i suplantar identitats i així poder robar la informació protegida (claus secretes que s’utilitzen per identificar als proveïdors de serveis i per xifrar el tràfic, els noms i les contrasenyes dels usuaris i el contingut real), sota condicions normals, pel xifrat SSL / TLS utilitzat per assegurar Internet.

Segons la pàgina web creada per explicar l’incident informàtic (Heartbleed.com) l’error podia posar a l’abast de qualsevol hacker, l’accés a informació privada i protegida a servidors que utilitzen OpenSSL, com per exemple el popularíssim Apache, utilitzat per la gran majoría de pàgines webs corporatives que disposen d’un gestor de continguts com WordPress, Joomla, Drupal, i tants d’altres. Tot i això, els usuaris poca cosa poden fer per protegir-se d’aquest error, ja que dependrà d’actualitzar el software de les pàgines.

Què hi puc fer?

Realment poca cosa s’hi pot fer, ja que el problema està als servidors i pàgines que utilitzen els usuaris. És recomanable de totes maneres, verificar que els serveis que s’utilitzen no son vulnerables i canviar les contrasenyes dels perfils i eines utilitzades.

Existeixen també eines que permeten comprovar si les pàgines utilitzades habitualment poden estar compromeses o no. Un exemple és LastPass o filippo.io, on només cal introduir la URL de la pàgina web que vulguem i ens diu si ha pogut estar compromès per Heartbleed. Si utilitzes Google Chrome, pots instal·lar l’extensió Chromebleed, que emet alertes si estem navegant per alguna pàgina afectada.

Algunes fonts han observat que han aparegut grups de hackers que utilitzen eines sofisticades per analitzar automàticament Internet, buscant servidors web que executin OpenSSL vulnerables a robatoris de dades, com contrasenyes, comunicacions confidencials i números de targetes de crèdit.

S’han pres mesures?

Representants de Google, Facebook i Yahoo!, ha assegurat que s’han pres les mesures necessàries per suavitzar l’impacte que tindria aquest problema pels usuaris. Google per exemple, informa que s’ha corregit l’error i no és necessari canviar les contrasenyes. Per altre banda, Amazon assegura que la seva plataforma no ha sigut afectada.

Des d’Infordisa, hem pres les mesures necessàries per tal d’assegurar que els nostres servidors estan protegits i funcionant amb la màxima fiabilitat. Tot i això, si tens algun dubte o vols fer qualsevol consulta sobre l’estat dels teus serveis, ens tens a la teva disposició al telèfon 977 612 073 o al formulari de contacte.