Onderzoekers hebben een nieuwe vorm van Linux-malware ontdekt die routers probeert over te nemen om er vervolgens op sociale netwerken zoals Facebook, Twitter, YouTube, Instagram en andere sites fraude mee te plegen. De malware heet Moose (pdf) en scant het internet af op zoek naar Linux-routers met een toegankelijke Telnet-dienst. Eenmaal gevonden wordt er een brute force-aanval uitgevoerd om via Telnet toegang tot de router te krijgen.

Moose zal in het geval van een succesvolle aanval de DNS aanpassen, het onversleutelde netwerkverkeer van en naar de router stelen, man-in-the-middle-aanvallen uitvoeren alsmede proxydiensten voor de malwaremaker bieden. In de praktijk zal de malware HTTP-cookies van de eerder genoemde sociale netwerksites stelen om frauduleuze acties mee uit te voeren, zoals het "volgen", "bekijken" en "liken" van gebruikers en content op de websites.

Daarnaast zal de malware besmette routers ook gebruiken om naar nieuwe kwetsbare systemen te scannen. Volgens onderzoekers van het Slowaakse anti-virusbedrijf ESET is de malware opvallend, omdat de meeste Linux-malware die rondgaat en het op routers heeft voorzien ontwikkeld is om DDoS-aanvallen uit te voeren. ESET hekelt ook de beveiliging van routers die te wensen overlaat en het mogelijk maakt dat dit soort malware kan toeslaan.

"Getuige de primitieve technieken die Moose gebruikt om toegang tot andere apparaten te krijgen, is het jammer dat leveranciers de veiligheid van routers niet serieuzer nemen", zo stellen de onderzoekers in de conclusie. Die raden tevens IT-experts aan om de routers van kennissen op firmware-updates en veilige instellingen te controleren als ze in de buurt zijn.