Il nuovo malware ZuoRAT attacca i router e dirotta i dispositivi collegati

0
50
KsanderDN/Shutterstock

La nostra transizione al lavoro a distanza ha alcune strane implicazioni per la sicurezza. Mentre il team IT di un ufficio può monitorare l'attività di un router e correggere le vulnerabilità, i telelavoratori raramente fanno lo stesso per i router dell'ufficio domestico. E questo ha aperto la porta a nuovi malware, come ZuoRAT.

Identificato e descritto da Black Lotus Labs, il malware ZuoRAT è un trojan di accesso remoto (o RAT). Raccoglie e invia i dati privati ​​di una vittima a un attore di minacce esterne, di solito un hacker o un gruppo di hacker. Ma ZuoRAT è particolarmente sofisticato e dannoso, per diversi motivi.

In primo luogo, ZuoRAT si rivolge ai router SOHO (piccole imprese/home office). Raccoglie ricerche DNS e traffico di rete dalle sue vittime: sono alcuni dati incredibilmente sensibili, soprattutto se sei un telelavoratore o una piccola impresa. Il fatto che questo malware abbia due anni non aiuta. Dal 2020 ha infettato lentamente i router.

Il furto del traffico di rete è una cosa, ma ZuoRAT non è solo un malware passivo. Distribuisce due RAT aggiuntivi ai dispositivi connessi alla rete una volta che ha infettato un router. E una volta fatto, ZuoRAT può installare ancora più malware sui dispositivi su una rete locale. Questo attacco potrebbe consentire agli hacker di dirottare un'intera rete di PC, far crollare una piccola impresa con un ransomware o trasformare una rete locale in una botnet.

RELATEDUn mondo senza fili: 25 anni di Wi-Fi < p>ZuoRAT è personalizzato sull'architettura MIPS e praticamente non è rilevabile con l'attuale software di sicurezza. Inoltre, sfrutta le vulnerabilità senza patch nei router SOHO. Dati i dettagli, ZuoRAT potrebbe essere lo strumento di un potente gruppo di hacker o di uno stato-nazione aggressivo. (L'ultimo importante malware per router SOHO, chiamato VPNFilter, è stato sviluppato e distribuito dal governo russo.)

Il malware ZouRAT sembra infettare i router SOHO di Cisco, Netgear, Asus e DrayTek. Come la maggior parte dei malware per router, ZouRAT morirà se riavvii il router, tuttavia, rimuovere il malware da altri dispositivi sulla rete potrebbe essere un po' complicato.

Se possiedi un router SOHO, ti suggerisco di riavviare it ed eseguire un aggiornamento per l'ultimo firmware. Ma se questo malware colpisce i dispositivi sulla tua rete, come il tuo PC, potrebbe essere necessario eseguire un ripristino delle impostazioni di fabbrica.

Fonte: Black Lotus Labs