Los routers de nuestros hogares son piezas clave para todos los miembros de la familia, ya que gracias a ellos podemos conectarnos y disfrutar de todo lo que nos da Internet. Estos están diseñados para ser seguros, pero es inevitable que estos tengan algunos agujeros de seguridad. Los fabricantes los van parcheando frecuentemente, pero algunos ciberdelincuentes consiguen seguir atacándolos. De hecho, una amplia gama de routers están siendo atacados desde hace tiempo por un malware muy avanzado. Te contamos más.
Este malware llevaría en circulación algún tiempo y durante todo este ha estado infectando una cantidad considerable de routers tanto en Estados Unidos como en Europa (incluida España). Este malware es realmente peligroso, ya que es capaz de controlar dispositivos conectados que ejecutan todo tipo de sistemas operativos como Windows, Linux o incluso MacOS.
Un malware muy peligroso
El malware, de nombre ZuoRAT, está diseñado para afectar a los routers de oficinas pequeñas y de los hogares, y es capaz de enumerar todos los dispositivos conectados y recopilar las búsquedas de DNS y el tráfico que envían y reciben. Dicho de otra manera, puede instalar en nuestro equipo lo que quiera y sin que nosotros nos demos cuenta de su presencia en ningún momento.
Su funcionamiento o su forma de actuar comprende al menos cuatro piezas diferentes de malware. La primera de ellas es el propio ZuoRAT, y una vez que este se instale en nuestro router efectuará un secuestro de DNS y de HTTP para hacer que los dispositivos que estén conectados al router descarguen alguno de los otros tres malware, hechos a medida para poder hacerse con el control de cualquier equipo prácticamente.
Los investigadores de Black Lotus Labs indican que si bien este tipo de malware en sí no es nada novedoso, hacía mucho tiempo que no se veía uno tan sofisticado atacar redes de hogares o de pequeñas oficinas:
Si bien comprometer los routers del hogar o de pequeñas oficinas como vía de acceso a obtener el acceso a una LAN próxima no es una técnica novedosa, rara vez se ha informado. Del mismo modo, los informes de ataques Man-in-the-Middle, como el secuestro de DNS y HTTP, son aún más raros y una marca de una operación compleja y dirigida. El uso de estas dos técnicas demostró un alto nivel de sofisticación, lo que indica que esta campaña posiblemente fue realizada por una organización patrocinada por un estado.
Es complejo por una razón
Que la forma de actuar y la estructura de este nuevo malware sea tan compleja tiene una forma de ser muy clara: ocultar lo que está sucediendo. Debemos tener en cuenta que por norma general los routers se suelen pasar por alto en lo que respecta a este tipo de malware, ya que siempre nos preocupamos más por los equipos que tenemos conectados a ellos en lo que respecta a materia de seguridad.
El lado bueno del asunto es que, como todos los malware que infectan routers, no es nada difícil de eliminar. Hasta la fecha, ningún malware puede sobrevivir a un reinicio. Si reiniciamos un dispositivo infectado, este eliminará el exploit inicial ZuoRAT, ya que sus archivos se almacenan en un directorio temporal que desaparecerá con el reinicio. Cabe añadir que para una recuperación completa no bastará con un simple reinicio, y es que será necesario restaurar el dispositivo de fábrica.
Fuente obtenida de: https://www.adslzone.net/noticias/seguridad/zuorat-malware-routers-espana/
