Worm Linux mới trong các bộ định tuyến thực hiện hành vi độc hại trên mạng xã hội

Các nhà nghiên cứu ESET vừa mới làm sáng tỏ một mẫu worm Linux mới có tên Moose, phát tán thông qua bộ định tuyến có tài khoản truy cập mặc định hoặc yếu. Moose ảnh hưởng trên các thiết bị nhúng Linux sử dụng kiến trúc MIPS và ARM.

Theo ESET, Moose có thể nghe lén đường truyền đến và đi từ thiết bị thông qua lây nhiễm trên bộ định tuyến. Nó sử dụng một dịch vụ proxy (SOCKS và HTTP) chỉ có thể truy cập bởi một danh sách các địa chỉ IP cụ thể. Moose cũng có thể cài đặt để định tuyến lại luồng dữ liệu DNS dùng trong các cuộc tấn công man-in-the-middle.

Mẫu worm này có khả năng đánh cắp những luồng dữ liệu không mã hóa, cung cấp dịch vụ proxy đến các hoạt động botnet. Trong thực tế chúng đánh cắp HTTP Cookies trong các mạng xã hội rồi thực hiện hành vi giả mạo như tăng lượt “theo dõi”, “xem”, và “thích” trên các trang. Các mạng xã hội chính Moose tập trung nhắm tới là Twitter, Facebook, Instagram và YouTube.

Theo ESET, bộ định tuyến của các công ty Actiontec, Hik Vision, Netgear, Synology, TP-Link, ZyXEL, và Zhone đều bị ảnh hưởng mặc dù chưa rõ worm nhắm đến bộ định tuyến nào.

ESET khuyến cáo người dùng nên thay đổi mật khẩu mặc định trên các thiết bị mạng ngay cả khi chúng không được kết nối đến Internet. Thêm vào đó, vô hiệu hóa Telnet login, sử dụng SSH. Đảm bảo rằng thiết bị của bạn không thể truy cập từ Internet thông qua cổng 22 (SSH), 23 (Telnet), 80 (HTTP) và 443 (HTTPS). Nếu thiết bị đã bị nhiễm độc, cần cập nhật firmware hoặc cài đặt lại cũng như thay đổi mật khẩu ngay.

securityweek