Uma cruzada de poluição atinge roteadores domésticos e redes SOHO, usadas através de pequenas empresas, com um vírus capaz de se mover lateralmente e sequestrar sites. Dispositivos de outras marcas como Asus, Netgear, Cisco e DrayTek já foram afetados por vulnerabilidades e dispositivos conhecidos. sem atualizações
De acordo com o laboratório de segurança virtual Black Lotus, os ataques parecem ter se originado na China, onde estão localizados os comandos e servidores da praga. Especialistas também associam a atividade a um estado-nação, mas não vinculam as duas informações, nem implicam exatamente qual seria o objetivo da cruzada, que verifica redes para dispositivos conectados vulneráveis e coleta credenciais e tokens de autenticação dos próprios roteadores.
Outros dados coletados através do ZuoRAT referem-se ao Wi-Fi e aos dispositivos conectados a ele, com endereços IP e MAC que também são enviados para a infraestrutura dos criminosos, bem como portas abertas nos dispositivos. Enquanto esse reconhecimento atua, o malware também desempenha outras atividades voltadas para sua própria ocultação, para versões mais atualizadas do que as usadas no engajamento da rede e execução remota de código para identificar persistência.
A principal atividade registrada, além de um movimento lateral imaginável através da rede, é o sequestro de DNS. Com essa técnica, os criminosos podem encontrar conexões válidas com sites e serviços da Internet e, ainda assim, direcionar as vítimas para páginas fraudulentas que podem abrir novos golpes e contaminações. A abordagem pode ser usada, por exemplo, para simular acesso a sites de internet banking ou plataformas online para procurar credenciais emprestadas, com o usuário pensando que está acessando domínios válidos.
De acordo com especialistas, ZuoRAT é um malware criado a partir de uma edição modificada do Mirai. A botnet também visa contaminar dispositivos conectados, principalmente roteadores e dispositivos de Internet das Coisas, com o objetivo de criar uma rede de dispositivos que são usados na negação de acesso. ataques ao serviço. Essa opção também existe na nova campanha.
O número de dispositivos infectados pode ser determinado através desta nova onda, mas pelo menos 80 são conhecidos desde o início do ano. Enquanto isso, a principal dica de segurança é atualizar roteadores e dispositivos conectados às versões mais recentes, como as falhas conhecidas usadas para contaminação podem ser atenuadas por atualizações.
Inscreva seu email no Canaltech para receber atualizações com as últimas notícias do mundo da tecnologia.