Tener que teletrabajar puede concluir suponiendo un peligro para los trabajadores. En una oficina suele activo un equipo que supervisa que la seguridad de los sistemas no esté comprometida; sin bloqueo, en casa rara vez se hace. Delante esta laxitud se abre una ventana para que determinado malintencionado haga de las suyas.
Desde Black Lotus Labs han identificado el malware ZuoRAT, que es un troyano de entrada remoto cuya representación es acopiar y destinar los datos privados de la víctima a un ciberdelincuente. Pero ZuoRAT es especialmente sofisticado y dañino, por varias razones.
Especialmente sofisticado y dañino
Este malware está pensado para atacar a los routers SOHO, que son los que tienen las pequeñas empresas o los que hay en casa, para acopiar las búsquedas de DNS y el tráfico de red. "Aunque comprometer los routers SOHO como vector de entrada para ceder a una LAN adyacente no es una técnica novedosa, rara vez se ha informado de ello", apuntan desde Black Lotus Labs.
Recoge y envía los datos privados de la víctima a un hacker
ZuoRAT puede redirigir el malware a los dispositivos conectados mediante dos métodos. Una es a través del secuestro de DNS, donde las direcciones IP válidas correspondientes a un dominio como Google o Facebook se reemplazan con una dirección IP maliciosa operada por el atacante. En segundo superficie, mediante el secuestro de HTTP, en el que el malware se implanta cuando se establece la conexión para difundir un error 302 que redirige al sucesor a una dirección IP diferente.
Estas dos técnicas se utilizan para distribuir otros tres programas maliciosos: CBeacon, GoBeacon y Cobalt Strike. Los dos primeros son RAT que permiten descargar archivos y ejecutar comandos arbitrarios. El posterior permite a los hackers infectar al resto de dispositivos que estén conectados a la red.
Es afirmar, que no hay ningún dispositivo conectado a la red intervenida que esté a ileso. Así que los hackers podrían hacer caer una pequeña empresa con un ransomware o convertir una red almacén en una botnet.
Pespunte con el reinicio
Si tienes un router SOHO, es aconsejable que lo reinicies y ejecutes una modernización para obtener el posterior firmware. Pero si ya es tarde y ZouRat ya afecta a los dispositivos de la red es posible que se tenga que realizar un restablecimiento de manufactura. Así que más vale tener una copia de seguridad de todo lo que sea importante.
Publicar un comentario