El cambio a un modelo de trabajo híbrido, con muchos empleados trabajando desde casa, ha abierto una nueva vía para los actores maliciosos. Los investigadores de seguridad advierten de que una sofisticada campaña de malware se ha dirigido a las redes domésticas y de pequeñas oficinas norteamericanas y europeas a través de malware de router que ha pasado desapercibido hasta hace poco.
El año pasado, los ciberataques contra las redes corporativas alcanzaron niveles récord en términos de frecuencia y tamaño, sobre todo debido a la vulnerabilidad Log4J, que muchas organizaciones dejaron sin parchear durante varios meses. A principios de este mes, se descubrió un nuevo malware difícil de detectar en sistemas basados en Linux que había estado robando credenciales y permitiendo el acceso remoto a los actores maliciosos.
En una línea similar, un nuevo troyano de acceso remoto sigiloso apodado ZuoRAT ha sido detectado por los investigadores de seguridad de Lumen Black Lotus Labs. El equipo que descubrió la nueva amenaza cree que ha estado infectando una amplia gama de routers para hogares y pequeñas oficinas (SOHO) en toda Europa y América del Norte con un malware que puede tomar el control de los dispositivos que ejecutan Windows, Linux o macOS.
Esto ha estado sucediendo desde al menos diciembre de 2020, y se cree que ZuoRAT es parte de una campaña de malware mucho más amplia que aprovechó el cambio repentino y masivo hacia el trabajo y el estudio a distancia. Los actores maliciosos eligieron atacar routers de grado de consumidor con firmware explotable que rara vez se supervisa y parchea, si es que lo hace.
Los investigadores de Black Lotus Labs afirman haber identificado al menos 80 objetivos hasta el momento, y han descubierto que ZuoRAT es sorprendentemente sofisticado para un malware que pretende comprometer los routers SOHO vendidos por Asus, Netgear, DrayTek y Cisco.
La campaña de malware aprovecha no menos de cuatro piezas diferentes de código malicioso, y ZuoRAT es preocupantemente similar a otros programas maliciosos personalizados escritos para la arquitectura MIPS, como el que está detrás de la infame red de bots Mirai.
Una vez que ZuoRAT se abre paso en un router, los actores maliciosos pueden utilizar el secuestro de DNS y HTTP para instalar piezas adicionales de malware apodadas Beacon y GoBeacon, así como la herramienta de hacking ampliamente utilizada Cobalt Strike.
La buena noticia es que el malware de router como ZuoRAT puede eliminarse con un simple reinicio del dispositivo infectado, ya que eso borraría sus archivos que residen en una carpeta temporal. Un reinicio de fábrica sería aún mejor, pero si los dispositivos infectados también contienen las otras piezas de malware no serán tan fáciles de eliminar.
Los analistas de seguridad y los administradores de sistemas pueden encontrar más detalles sobre los aspectos técnicos de la campaña ZuoRAT, incluidos los indicadores de compromiso y las posibles herramientas de prevención, consultando el GitHub de Black Lotus Labs.
Te puede interesar...
Análisis del adaptador USB-C a Ethernet de UGREEN
Wi-Fi 7 - características y qué velocidad tendrá
La crisis mundial de los chips provoca un retraso de 60 semanas en los pedidos de nuevos routers
Qué son los sistemas Wi-Fi Mesh, cómo funcionan y qué ventajas tienen
WPA3: qué características y ventajas tiene
¿Qué puede hacer alguien con tu dirección IP?
¿Qué ventajas tiene el Wi-Fi 6? Compatibilidad, latencia, IoT, velocidad, seguridad, menor consumo...
Switch vs. Hub: ¿Cuál es la diferencia?
Fuente: este post proviene de WikiVersus, donde puedes consultar el contenido original.
¿Vulnera este post tus derechos? Pincha aquí.
Creado: