ZuoRAT: malware sequestra roteadores na América do Norte e Europa

Durante quase dois anos, um grupo de hackers conseguiu infectar ao menos 80 roteadores na América do Norte e na Europa com um malware que assume o controle dos dispositivos conectados — seja Windows, macOS ou Linux. Responsáveis pela descoberta, os pesquisadores do Black Lotus Labs, vinculado à Lumen Technologies, dizem ter identificado entre os alvos unidades fabricadas por empresas como Cisco, Netgear, Asus e DrayTek.

Segundo o Black Lotus, o malware, chamado de ZuoRAT, é compilado para pequenos escritórios e escritórios domésticos. Altamente sofisticado, o malware é capaz de enumerar todos os disponitivos conectados aos roteadores infectados e coletar pesquisas de DNS (Domain Name System, ou Sistema de Nomes de Domínio) e tráfego de rede. Para piorar, o agente consegue se manter indetectável por boa parte do tempo.

“Embora comprometer os roteadores Soho como vetor para acessar uma LAN não seja uma técnica nova, raramente foi relatado”, dizem os pesquisadores do Black Lotus Labs, em publicação divulgada na terça-feira (28). “Da mesma forma, relatos de ataques do tipo person-in-the-middle, como sequestro de DNS e HTTP, são ainda mais raros e denotam uma operação complexa e direcionada”.

Leia mais:

• Entenda os riscos dos ataques a roteadores e saiba como se proteger
• Vírus força roteadores Wi-Fi a se unirem a exército de botnet
• Nova botnet IoT mira vulnerabilidades de roteadores Tenda

Ataque usa malware semelhante ao Mirai

De acordo com o Black Lotus, a campanha inclui ao menos quatro malwares, três deles escritos do zero pelo agressor. A primeira parte é o ZuoRAT, cuja composição se assemelha à botnet Mirai, responsável por vários ataques DDoS no passado. Uma vez instalado, o vírus enumera os dispositivos conectados ao roteador infectado e libera outras duas peças: a CBeacon, escrita para Windows em linguagem C++, e a GoBeacon, codificada em Go para compilação cruzada em dispositivos Linux e macOS. Ele pode também carregar a ferramenta Cobalt Strike, amplamente utilizada por cibercriminosos.

Por fim, o malware possui dois métodos para infectar os roteadores. O primeiro envolve sequestro de DNS, que substitui os endereços IP válidos por um malicioso operado pelo invasor. O outro sequestra o HTTP — o malware se insere na conexão para gerar um erro 302 que redireciona o usuário para um IP diferente.

“O uso dessas duas técnicas demonstrou um alto nível de sofisticação por um agente de ameaça, indicando que esta campanha foi possivelmente realizada por uma operação patrocinada por um Estado”, dizem os pesquisadores da Black Lotus.

O ZuoRAT faz parte de uma campanha hacker mais ampla e está na ativa desde o último trimestre de 2020.

Crédito da imagem principal: Griff Phillips/Shutterstock

Já assistiu aos nossos novos vídeos no YouTube? Inscreva-se no nosso canal!