I ricercatori del Black Lotus Labs di Lumen Technologies hanno scoperto numerosi attacchi contro i router SOHO effettuati con il malware ZuoRAT. Dopo aver ottenuto l’accesso al router, i cybercriminali possono prendere il controllo dei dispositivi collegati alla rete locale, dirottare la connessione e installare altri malware. È quindi necessario utilizzare una soluzione di sicurezza che blocca queste minacce e rileva il traffico sospetto proveniente dall’esterno. Uno dei prodotti migliori sul mercato è Bitdefender Total Security.
ZuoRAT: pericoloso malware per router
ZuoRAT è un RAT (Remote Access Trojan) multi-stadio scritto per l’architettura MIPS dei router SOHO di ASUS, Netgear, Cisco e altri produttori. Il malware viene installato sul router, sfruttando vulnerabilità note. Successivamente inizia la scansione dei dispositivi connessi e lo sniffing dei pacchetti. Viene inoltre effettuato un dump della memoria per accedere alle credenziali e alle tabelle di routing.
ZuoRAT intercetta il traffico e dirotta la connessione tramite DNS e HTTP hijacking. Queste due tecniche vengono utilizzate per distribuire altri tre malware: CBeacon, GoBeacon e Cobalt Strike. I primi due sono RAT che consentono il download di file e l’esecuzione di comandi arbitrari. Alcuni router sono anche aggiunti ad una botnet e usati come proxy.
ZuoRAT può essere eliminato con il riavvio del router, ma questa operazione viene eseguita raramente. Gli utenti devono inoltre installare le patch di sicurezza rilasciate dai produttori. I dispositivi collegati al router devono essere protetti da antivirus e firewall.