La nuova minaccia che corre sulla rete è un trojan in grado di infettare un’ampia gamma di router SOHO per poi attaccare i dispositivi che eseguono Windows, Linux o macOS. Il nome della minaccia è ZuoRAT ed è già in Europa e Nord America. 
Già nel 2020 si era temuto un gruppo hacker che aveva dispiegato diversi malware approfittando dell’esplosione dello smart working. L’aumento vertiginoso dell’utilizzo dei laptop e dei computer ma soprattutto la moltitudine di utenti inesperti costretti al lavoro da remoto per gli hacker era stato il paradiso.
Le stessi mente criminali pare siano tornate con un nuovo trojan, denominato ZuoRAT. Il suo bersaglio sono i router SOHO, ad esempio l’ Asus BRT-AC828. Da qui può assumere il controllo dei dispositivi che eseguono i sistemi operativi Windows, Linux e anche macOS grazie allo sfruttamento di firmwar vulnerabili.
Ad avere individuato il trojan sono stati i ricercatori della sezione sicurezza di Lumen Black Lotus Labs. Oltre ai prodotti Asus risultano particolarmente vulnerabili anche i router a marchio Cisco e Netgear. Il pericolo più grosso lo corrono le aziende dato che tramite una singola rete ZuoRAT potrebbe attaccare tutti i dipendenti collegati. Meglio dunque sviluppare al più presto un firmware aggiornato per i router più esposti.
Come agisce ZuoRAT
“RAT” sta per Remote Access Trojan, in questo caso sviluppato appositamente per l’architettura MIPS dei router SOHO più diffusi. Una volta che ZuoRAT riesce ad infettare il router è in grado di accedere all’elenco dei dispositivi connessi alla rete oltre a intercettarne il traffico dati. Durante queste operazioni il trojan riesce comunque a evitare tentativi di rilevamento.
Riuscendo a dirottare le connessioni attraverso il DNS e HTTP hijacking può installare ulteriori malware poiché fornisce contenuti diversi da quelli ricercati dal dispositivo. I programmi dannosi in questione sono tre. CBeacon e GoBeacon sono anch’essi Remote Access Trojan che scaricano file dannosi sul dispositivo ed possono compiere azioni arbitrarie prendendo il controllo del dispositivo. Cobalt Strike invece è uno strumento molto gettonato nell’ambiente dei criminali informatici, e ironicamente anche dalla cybersecurity per simulare attacchi malware.
Per eliminare ZuoRAT si può tentare di riavviare il router ma chiaramente non senza installare nuove patch di sicurezza che si spera le aziende rilascino presto. Lo stesso vale per i dispositivi attaccati che necessitano di antivirus e firewall.
🔴 FONTI: threatpost.com