El sofisticado malware, bautizado como ZuoRAT, aprovecha las vulnerabilidades de algunos routers para implementar nuevo malware y así controlar los dispositivos de los usuarios conectados a la red. Afecta principalmente rotuers domésticos y de pequeñas oficinas, modelos tipo Cisco RV 320, 325 y 420; Asus RT-AC68U, RT-AC530, RT-AC68P y RT-AC1900U; DrayTek Vigor 3900 y algunos modelos de NetGear. Hay afectado en Estados Unidos y Europa
Se ha descubierto una forma de malware que ataca activamente a los routers de pequeñas oficinas y hogares en Europa y principalmente Norteamérica. Es decir, a modelos de routers SOHO.
El malware es capaz de actuar un troyano de acceso remoto de varias etapas y se cree que ha estado activo desde 2020. Permite acceder a la red local y a otros sistemas de la red de área local mediante el secuestro de las comunicaciones.
Black Lotus Labs, un equipo de investigadores de la compañía Lumen, lo ha descubierto un malware que lleva afectando a centenares de routers de Norteamérica y Europa durante, al menos, dos años. El malware, bautizado como ZuoRAT, parece ser capaz de acceder a aquellos dispositivos conectados que funcionan con Windows, Linux o macOS para "cargar y descargar archivos, ejecutar comandos y persistir en la estación de trabajo", según comentan los investigadores.
Lleva activo, además, desde octubre de 2020, aprovechando que muchos usuarios teletrabajan. Lumon describe a ZuoRAT como "un archivo MIPS compilado para enrutadores SOHO que puede enumerar un host y una LAN interna, capturar los paquetes que se transmiten a través del dispositivo infectado y realizar ataques de persona en el medio (secuestro DNS y HTTPS basado en reglas predefinidas)". Funciona, además, a través de diferentes fases hasta cumplir su objetivo: controlar los dispositivos conectados.
La primera fase es la carga del malware. Esta se instala en dispositivos SOHO, comúnmente utilizados para puestos de trabajo en las o para establecer conexión en pequeñas empresas. ZuoRAT, en concreto, se instala aprovechando aquellas vulnerabilidades no solventadas en este tipo de routers y permite ejecutar la segunda fase.
Esta consiste en enumerar aquellos dispositivos conectados y ejecutar un secuestro de DNS y HTTP, que permiten cambiar la dirección de la URL que el usuario visita por una que redirija a una web maliciosa o, en el caso del secuestro HTTP obtener todas las cookies del resto de webs. El objetivo es que el usuario, de forma inconsciente, descargue nuevo malware en su ordenador.
ZuoRAT, en concreto, usa tres módulos adicionales diseñados específicamente para diferentes dispositivos. Los denominados como CBeacon (Windows) y GoBeacon (Linux o macOS) y Cobalt Strike, que tiene una implementación más amplia. Estos son los encargados de realizar la última fase. Se trata de la carga y descarga de archivos, la ejecución de comandos, etc., desde el propio dispositivo del usuario.
Evita que tu router se infecte con el malware ZuoRAT: actualiza el firmware
Lumen, por otro lado, comenta que el malware es muy sofisticado y, por tanto, difícil de detectar una vez está ya infectado. "No se puede exagerar hasta qué punto los actores se esfuerzan por ocultar la infraestructura C2. En primer lugar, para evitar sospechas, entregaron el exploit inicial de un servidor privado virtual (VPS) dedicado que alojaba contenido benigno. A continuación, aprovecharon los routers como C2 proxy que se escondían a plena vista a través de la comunicación de enrutador a enrutador para evitar aún más la detección. Y, por último, rotaban los routers proxy periódicamente para evitar la detección", comenta la compañía.
Afortunadamente, hay una forma de eliminar a ZuoRAT de los routers. El usuario simplemente debe reiniciar el dispositivo y, para evitar que el malware vuelva a ser cargado de nuevo, restablecerlo a sus valores de fábrica.
Fuentes:
https://blog.lumen.com/zuorat-hijacks-soho-routers-to-silently-stalk-networks/
https://hipertextual.com/2022/06/malware-routers-control-dispsitivos
No hay comentarios:
Publicar un comentario