Al igual que el portal de casa es la primera frontera para proteger nuestro hogar, el router es la primera barrera ante los intentos de acceso a nuestros datos. Y por ser el primer obstáculo frente a atacantes, también pasa por ser un elemento muy vulnerable que es importante proteger.
El router es la puerta para conectarnos a la red de redes y por eso no es extraño que proliferen los intentos de ciberataques a este tipo de dispositivos. El malware más reciente recibe el nombre ZuoRAT y ahora vamos a conocer un poco más de esta amenaza que se cierne sobre nuestros hogares.
Amenaza silenciosa
El router es la puerta para conectarnos a Internet y no sólo con el ordenador o el móvil, sino con una gran cantidad de dispositivos del hogar conectado. Muchos de estos dispositivos no cuentan con una protección más allá que la que ofrece el router y por eso es muy importante contar con una seguridad reforzada. Y de ahí el interés de algunos ciberdelincuentes por violentar nuestro router.
El último malware descubierto recibe el nombre de ZuoRAT. Una amenaza que afecta a un buen número de routers tanto en Estados Unidos como en Europa y que puede ser usado para atacar a todo tipo de dispositivos conectados, con independencia del sistema operativo que usen.
Da igual que funcionen sobre Windows, Linux o incluso MacOS. ZuoRAT permite a un atacante enumerar todos los dispositivos conectados al router infectado y recopilar información como son las búsquedas de DNS o el tráfico de red que envían y reciben. Y ademas lo logra sin ser detectado.
El usuario no se da cuenta que está siendo atacado y sus datos puestos en riesgo. Según describen los investigadores de Black Lotus Labs ZuoRAT, está compuesto, por decirlo de alguna forma, de cuatro partes o métodos de ataque.
Lo primero que hace ZuoRAT es instalarse en el router para infectarlo y secuestrar cualquier dispositivo conectado a nuestro router. Para lograrlo, enumera los dispositivos conectados al router infectado.
Una vez infectado y con los dispositivos listados, se sirve de un secuestro de DNS y de HTTP para hacer que cualquiera de esos dispositivos instalen otro malware.
CBeacon y GoBeacon son dos de estas herramientas y están hechas a medida; la primera está escrita para Windows en C ++ y la última escrita en Go para compilación cruzada en dispositivos Linux y macOS.
Y por si esto no es bastante, ZuoRAT también puede infectar dispositivos conectados con la herramienta de piratería Cobalt Strike. Los investigadores catalogan esta amenaza como muy sofisticada, si bien no es la primera que aparece en este sentido.
La buena noticia en este sentido, es que al igual que otras amenazas, ZuoRAT puede ser eliminado con un sólo reiniciar el dispositivo infectado. Esto eliminará el exploit inicial de ZuoRAT, que consiste en archivos almacenados en un directorio temporal. No obstante, para dejar limpio el dispositivo por completo, es aconsejable un restablecimiento de fábrica, si bien los dispositivos conectados que se hayan infectado con otro malware, no se pueden desinfectar tan fácilmente.