Malware ataca roteadores domésticos para desviar acesso a sites fraudulentos

Uma campanha de contaminações está atingindo roteadores domésticos e redes SOHO, usadas por pequenos negócios, com um vírus capaz de se mover lateralmente e desviar acessos a sites. Dispositivos de diferentes fabricantes como Asus, Netgear, Cisco e DrayTek já foram afetados, a partir de vulnerabilidades conhecidas e aparelhos sem atualizações.

• Dicas para aumentar a segurança de sua rede doméstica
• Ataques DDoS aumentaram quase 75% no início de 2022

De acordo com o laboratório em segurança digital Black Lotus, os ataques parecem ser originados da China, onde estão servidores de comando e controle da praga. Os especialistas também associam a atividade a um estado-nação, mas não fazem ligação entre as duas informações, bem como não apontam exatamente qual seria o intuito da campanha, que analisa redes em busca de dispositivos vulneráveis conectados e coleta credenciais e tokens de autenticação dos próprios roteadores.

Outras informações coletadas pelo ZuoRAT estão relacionadas ao Wi-Fi e dispositivos conectados a ele, com endereços IP e MAC também sendo enviados à infraestrutura dos criminosos, assim como portas abertas em tais aparelhos. Enquanto realiza esse reconhecimento, o malware também executa outras atividades focadas na própria ocultação, buscando por versões mais atualizadas que a usada no comprometimento da rede e executando códigos remotos para estabelecer persistência.

Malware pode direcionar a vítima para páginas fraudulentas

A principal atividade registrada, além de uma possível movimentação lateral pela rede, é o sequestro de DNS. Usando a técnica, criminosos podem detectar conexões legítimas a sites e serviços, mas direcionar as vítimas a páginas fraudulentas que podem dar abertura a novos golpes e contaminações. O método pode ser usado, por exemplo, para simular acessos a sites bancários ou plataformas online para roubo de credenciais, com o usuário acreditando estar acessando os domínios legítimos.

Ainda de acordo com os especialistas, o ZuoRAT seria um malware criado a partir de uma versão modificada do Mirai. A botnet também é voltada para a contaminação de dispositivos conectados, principalmente roteadores e aparelhos da Internet das Coisas, com o objetivo de criar uma rede de aparelhos que sejam utilizados em ataques de negação de serviço. Essa possibilidade também existe na nova campanha.

O número de aparelhos contaminados por essa nova onda não pode ser determinado, mas pelo menos 80 foram identificados desde o início do ano. Enquanto isso, a principal recomendação de segurança é a atualização de roteadores e dispositivos conectados para as versões mais recentes, já que as falhas conhecidas usadas para contaminação podem ser mitigadas pelos updates.

Fonte: Lumen