Когда в мае 2015 года антивирусная компания ESET выпустила первое исследование вредоносной программы Moose, активность управляющего сервера снизилась, и вредонос исчез с радаров. Поначалу всем казалось, что угроза миновала, однако в сентябре у экспертов по информационной безопасности и пользователей Linux появился новый повод для беспокойств: за прошедший год злоумышленники доработали Moose и запустили новую версию.

Moose заражает домашние роутеры и публичные точки доступа с целью перехвата паролей от аккаунтов социальных сетей пользователей, подключённых к Сети. Украденные пароли используются операторами Moose для мошенничества в соцсетях. В частности, зловред может нагнать подписчиков в Twitter и Instagram, раскрутить группу в Facebook или искусственно увеличить число просмотров видео на YouTube.

Кроме того, скомпрометированные аккаунты могут использоваться для распространения в соцсетях ссылок на загрузку других вредоносных программ.

Главное отличие новой версии Moose от старой заключается в интегрированном механизме маскировки местоположения управляющего сервера. Вирусописатели усложнили структуру кода, задав новый IP-адрес сервера в виде зашифрованного аргумента командной строки.

Источник