Los routers de Asus, Netgear y Cisco son el objetivo de una sofisticada campaña de malware

Rubén Castro, 2 julio 2022

Ya está aquí la Vuelta al Cole de AliExpress con descuentos de hasta el 70% en las mejores marcas!!! El periodo de compra empieza el día 22 a las 9 am, pero ya ha empezado el calentamiento y podemos ir consiguiendo descuentos en la siguiente web y agregando productos al carrito de compra. Además, tenemos cupones de descuento:

  • VUELTA2: 2 € de descuento con 25 € de compra mínima
  • VUELTA5: 5 € de descuento con 50 € de compra mínima
  • VUELTA10: 10 € de descuento con 100 € de compra mínima
  • VUELTA25: 25 € de descuento con 200 € de compra mínima
  • VUELTA35: 35 € de descuento con 300 € de compra mínima
  • VUELTA50: 50 € de descuento con 400 € de compra mínima
  • OWES7: 7 € de descuento con 50 € de compra mínima para los productos enviados desde Europa
  • OWES15: 15 € de descuento con 120 € de compra mínima para los productos enviados desde Europa
Ver las mejores ofertas

El cambio a un modelo de trabajo híbrido, con muchos empleados trabajando desde casa, ha abierto una nueva vía para los actores maliciosos. Los investigadores de seguridad advierten de que una sofisticada campaña de malware se ha dirigido a las redes domésticas y de pequeñas oficinas norteamericanas y europeas a través de malware de router que ha pasado desapercibido hasta hace poco.

El año pasado, los ciberataques contra las redes corporativas alcanzaron niveles récord en términos de frecuencia y tamaño, sobre todo debido a la vulnerabilidad Log4J, que muchas organizaciones dejaron sin parchear durante varios meses. A principios de este mes, se descubrió un nuevo malware difícil de detectar en sistemas basados en Linux que había estado robando credenciales y permitiendo el acceso remoto a los actores maliciosos.

En una línea similar, un nuevo troyano de acceso remoto sigiloso apodado ZuoRAT ha sido detectado por los investigadores de seguridad de Lumen Black Lotus Labs. El equipo que descubrió la nueva amenaza cree que ha estado infectando una amplia gama de routers para hogares y pequeñas oficinas (SOHO) en toda Europa y América del Norte con un malware que puede tomar el control de los dispositivos que ejecutan Windows, Linux o macOS.

Esto ha estado sucediendo desde al menos diciembre de 2020, y se cree que ZuoRAT es parte de una campaña de malware mucho más amplia que aprovechó el cambio repentino y masivo hacia el trabajo y el estudio a distancia. Los actores maliciosos eligieron atacar routers de grado de consumidor con firmware explotable que rara vez se supervisa y parchea, si es que lo hace.

Los investigadores de Black Lotus Labs afirman haber identificado al menos 80 objetivos hasta el momento, y han descubierto que ZuoRAT es sorprendentemente sofisticado para un malware que pretende comprometer los routers SOHO vendidos por Asus, Netgear, DrayTek y Cisco.

La campaña de malware aprovecha no menos de cuatro piezas diferentes de código malicioso, y ZuoRAT es preocupantemente similar a otros programas maliciosos personalizados escritos para la arquitectura MIPS, como el que está detrás de la infame red de bots Mirai.

Una vez que ZuoRAT se abre paso en un router, los actores maliciosos pueden utilizar el secuestro de DNS y HTTP para instalar piezas adicionales de malware apodadas Beacon y GoBeacon, así como la herramienta de hacking ampliamente utilizada Cobalt Strike.

Los investigadores explicaron que la campaña está dirigida a varias organizaciones de Estados Unidos y Europa Occidental y que los atacantes han hecho todo lo posible por ocultar su actividad mediante una infraestructura C2 ofuscada y de múltiples etapas. Y aunque de momento es sólo una sospecha, los datos analizados indican que los atacantes podrían estar operando en la provincia china de Xiancheng utilizando la infraestructura de centros de datos de Tencent y la herramienta de colaboración Yuque de Alibaba.

La buena noticia es que el malware de router como ZuoRAT puede eliminarse con un simple reinicio del dispositivo infectado, ya que eso borraría sus archivos que residen en una carpeta temporal. Un reinicio de fábrica sería aún mejor, pero si los dispositivos infectados también contienen las otras piezas de malware no serán tan fáciles de eliminar.

Los analistas de seguridad y los administradores de sistemas pueden encontrar más detalles sobre los aspectos técnicos de la campaña ZuoRAT, incluidos los indicadores de compromiso y las posibles herramientas de prevención, consultando el GitHub de Black Lotus Labs.