Notre transition vers la télécommande travail a des implications étranges pour la sécurité. Alors que l'équipe informatique d'un bureau peut surveiller l'activité d'un routeur et corriger les vulnérabilités, les télétravailleurs font rarement la même chose pour les routeurs de leur bureau à domicile. Et cela a ouvert la porte à de nouveaux logiciels malveillants, tels que ZuoRAT.
Identifié et décrit par Black Lotus Labs, le malware ZuoRAT est un cheval de Troie d'accès à distance (ou RAT). Il collecte et envoie les données privées d'une victime à un acteur menaçant extérieur, généralement un pirate ou un groupe de pirates. Mais ZuoRAT est particulièrement sophistiqué et dommageable, pour plusieurs raisons.
Premièrement, ZuoRAT cible les routeurs SOHO (petites entreprises/bureaux à domicile). Il collecte les recherches DNS et le trafic réseau de ses victimes ; il s'agit de données extrêmement sensibles, surtout si vous êtes un télétravailleur ou une petite entreprise. Cela n'aide pas que ce logiciel malveillant ait deux ans. Il infecte lentement les routeurs depuis 2020.
Voler du trafic réseau est une chose, mais ZuoRAT n'est pas qu'un logiciel malveillant passif. Il déploie deux RAT supplémentaires sur les appareils connectés au réseau une fois qu'il infecte un routeur. Et une fois cela fait, ZuoRAT peut installer encore plus de logiciels malveillants sur les appareils d'un réseau local. Cette attaque pourrait permettre aux pirates de pirater tout un réseau de PC, de faire tomber une petite entreprise avec un logiciel de rançon ou de transformer un réseau local en botnet.
CONNEXESUn monde sans fils : 25 ans de Wi-Fi
ZuoRAT est conçu sur mesure sur l'architecture MIPS, et il est fondamentalement indétectable avec les logiciels de sécurité actuels. En outre, il tire parti des vulnérabilités non corrigées des routeurs SOHO. Compte tenu des détails, ZuoRAT peut être l'outil d'un puissant groupe de piratage ou d'un État-nation agressif. (Le dernier logiciel malveillant majeur de routeur SOHO, appelé VPNFilter, a été développé et déployé par le gouvernement russe.)
Le logiciel malveillant ZouRAT semble infecter les routeurs SOHO de Cisco, Netgear, Asus et DrayTek. Comme la plupart des logiciels malveillants de routeur, ZouRAT mourra si vous redémarrez votre routeur – la suppression du logiciel malveillant d'autres appareils sur votre réseau peut cependant être un peu délicate.
Si vous possédez un routeur SOHO, je suggère de redémarrer et exécutez une mise à jour pour le dernier firmware. Mais si ce logiciel malveillant affecte les appareils de votre réseau, tels que votre PC, vous devrez peut-être effectuer une réinitialisation d'usine.
Source : Black Lotus Labs