Black Lotus Labs, un equipo de investigadores de la compañía Lumen, ha descubierto un malware que lleva afectando a centenares de routers de Norteamérica y Europa durante, al menos, dos años. El troyano, bautizado como ZuoRAT, parece ser capaz de acceder a aquellos dispositivos conectados que funcionan con Windows, Linux o macOS para "cargar y descargar archivos, ejecutar comandos y persistir en la estación de trabajo", según comentan los investigadores.
El malware, por otro lado, parece funcionar en routers de marcas como Cisco, Netgear, Asus y DayTek. Lleva activo, además, desde octubre de 2020, aprovechando que muchos usuarios teletrabajan. Lumon describe a ZuoRAT como "un archivo MIPS compilado para enrutadores SOHO que puede enumerar un host y una LAN interna, capturar los paquetes que se transmiten a través del dispositivo infectado y realizar ataques de persona en el medio (secuestro DNS y HTTPS basado en reglas predefinidas)". Funciona, además, a través de diferentes fases hasta cumplir su objetivo: controlar los dispositivos conectados.
La primera fase es la carga del malware. Esta se instala en dispositivos SOHO, comúnmente utilizados para puestos de trabajo en las o para establecer conexión en pequeñas empresas. ZuoRAT, en concreto, se instala aprovechando aquellas vulnerabilidades no solventadas en este tipo de routers y permite ejecutar la segunda fase.
Esta consiste en enumerar aquellos dispositivos conectados y ejecutar un secuestro de DNS y HTTP, que permiten cambiar la dirección de la URL que el usuario visita por una que redirija a una web maliciosa o, en el caso del secuestro HTTP obtener todas las cookies del resto de webs. El objetivo es que el usuario, de forma inconsciente, descargue nuevo malware en su ordenador.
ZuoRAT, en concreto, usa tres malwares adicionales diseñados específicamente para diferentes dispositivos. Los denominados como CBeacon (Windows) y GoBeacon (Linux o macOS) y Cobalt Strike, que tiene una implementación más amplia. Estos son los encargados de realizar la última fase. Se trata de la carga y descarga de archivos, la ejecución de comandos, etc., desde el propio dispositivo del usuario.
Así puedes evitar que tu router se infecte con el malware ZuoRAT
Lumen, por otro lado, comenta que el malware es muy sofisticado y, por tanto, difícil de detectar. "No se puede exagerar hasta qué punto los actores se esfuerzan por ocultar la infraestructura C2. En primer lugar, para evitar sospechas, entregaron el exploit inicial de un servidor privado virtual (VPS) dedicado que alojaba contenido benigno. A continuación, aprovecharon los routers como C2 proxy que se escondían a plena vista a través de la comunicación de enrutador a enrutador para evitar aún más la detección. Y, por último, rotaban los routers proxy periódicamente para evitar la detección", comenta la compañía.
Afortunadamente, hay una forma de eliminar a ZuoRAT de los routers. El usuario simplemente debe reiniciar el dispositivo y, para evitar que el malware vuelva a ser cargado de nuevo, restablecerlo a sus valores de fábrica.