ZuoRAT: el troyano que ataca de forma remota a los rúteres

Los investigadores de Lumen Technologies Inc.'s y Black Lotus Labs han descubierto un troyano de acceso remoto que estaría activo desde 2020, y cuyo objetivo son rúteres de pequeñas oficinas y hogares en distintos países entre los que se encuentra España.

Se trata de una campaña sofisticada, posiblemente originada en China, y dirigida contra organizaciones de Estados Unidos y Europa occidental. Se oculta en el tráfico típico de Internet utilizando una infraestructura de comando y control (C&C) ofuscada y compleja con múltiples capas, probablemente alineadas con las distintas fases de infección del malware para evitar sospechas.

Los investigadores han llamado ZuoRAT a este troyano que parece ser una variante avanzada de la botnet Mirai. Llega a los dispositivos a través de la Red, explotando vulnerabilidades conocidas y no parcheadas.

La explotación de estas vulnerabilidades tiene cuatro objetivos iniciales:

1. tener la contraseña del rúter.
2. Extraer la cookie de autorización (sysauth).
3. Iniciar sesión remota vía Telnet.
4. Eliminar cualquier versión anterior de ZuoRAT y descargar e instalar la última versión.

A continuación, el malware realiza un reconocimiento del rúter y de la red local, buscando una lista de puertos abiertos y enviando la información al servidor C&C. Otra función le permite recopilar información sobre las configuraciones DNS y wifi del rúter y las direcciones IP y MAC del resto de dispositivos de la red.

Este troyano podría permitir a un ciberdelincuente, además de recopilar información de hosts y de la LAN, capturar paquetes transmitidos por el rúter y el muestreo de las comunicaciones de red para obtener un acceso persistente y sigiloso desde servidores de C&C para realizar ataques Man-in-the-Middle y de secuestro de DNS y HTTPS.

Fuente: INCIBE: https://www.incibe.es/protege-tu-empresa/avisos-seguridad/zuorat-el-troyano-ataca-forma-remota-los-ruteres

¿Necesitas formación en materia de Ciberseguridad? En DANTIA Tecnología podemos analizar los puntos sensibles de seguridad en tu negocio para ayudarte a definir las pautas de seguridad efectivas para tus empleados.

Contacta con nosotros llamando al 956 18 21 22 - https://datacenter.dantia.es/contacto/