Novo malware ZuoRAT ataca roteadores e sequestra dispositivos conectados

0
59


KsanderDN/Shutterstock

Nossa transição para o trabalho remoto tem algumas implicações estranhas para a segurança. Enquanto uma equipe de TI de escritório pode monitorar a atividade do roteador e corrigir vulnerabilidades, os teletrabalhadores raramente fazem o mesmo com seus roteadores de home office. E isso abriu as portas para novos malwares, como o ZuoRAT.

Identificado e descrito pelo Black Lotus Labs, o malware ZuoRAT é um Trojan de acesso remoto (ou RAT). Coleta e envia os dados privados de uma vítima para um agente de ameaça externo, geralmente um hacker ou grupo de hackers. Mas ZuoRAT é especialmente sofisticado e prejudicial, por várias razões.

Em primeiro lugar, o ZuoRAT tem como alvo os roteadores SOHO (pequenas empresas/escritórios domésticos). Ele coleta pesquisas de DNS e tráfego de rede de suas vítimas; são dados incrivelmente sensíveis, especialmente se você for um teletrabalhador ou uma pequena empresa. Não ajuda que esse malware tenha dois anos. Ele infectou lentamente os roteadores desde 2020.

Roubar o tráfego de rede é uma coisa, mas o ZuoRAT não é apenas um malware passivo. Ele implanta dois RATs adicionais em dispositivos conectados à rede assim que infecta um roteador. E uma vez feito isso, o ZuoRAT pode instalar ainda mais malware em dispositivos em uma rede local. Esse ataque pode permitir que hackers sequestrem uma rede inteira de PCs, derrubar uma pequena empresa com ransomware ou transformar uma rede local em uma botnet.

ZuoRAT é construído sob medida na arquitetura MIPS e é basicamente indetectável com o software de segurança atual. Além disso, ele explora vulnerabilidades não corrigidas em roteadores SOHO. Dados os detalhes, o ZuoRAT pode ser a ferramenta de um poderoso grupo de hackers ou de um estado-nação agressivo. (O último grande malware de roteador SOHO, chamado VPNFilter, foi desenvolvido e implantado pelo governo russo.)

O malware ZouRAT parece infectar roteadores SOHO da Cisco, Netgear, Asus e DrayTek. Como a maioria dos malwares de roteador, o ZouRAT morrerá se você reiniciar o roteador; no entanto, remover malware de outros dispositivos em sua rede pode ser um pouco complicado.

Se você possui um roteador SOHO, sugiro que você o redefina e execute uma atualização para o firmware mais recente. Mas se os dispositivos em sua rede, como seu PC, forem afetados por esse malware, talvez seja necessário realizar uma redefinição de fábrica.

Fonte: Laboratórios Black Lotus