ZuoRAT Malware

Como o ZuoRAT funciona?

O ZuoRAT é um descendente do Mirai, um dos botnets de Internet das coisas (IoT) mais famosos da história. O código-fonte do Mirai foi vazado em 2016, permitindo que outros malware desenvolvessem sua base de código existente.

A ZuoRAT aproveitou o boom do trabalho remoto inspirado pela pandemia da COVID-19. Devido à pandemia, um volume maior de tráfego comercial passa agora pelos roteadores SOHO, que conectam escritórios domésticos ou pequenas empresas à Internet. Esses roteadores são normalmente menos monitorados e protegidos do que seus equivalentes maiores, o que provavelmente explica por que o RAT conseguiu passar despercebido por mais de um ano antes de ser detectado.

O ZuoRAT obtém acesso a roteadores SOHO explorando vulnerabilidades não corrigidas. Essas vulnerabilidades são de conhecimento público; no entanto, poucos indivíduos e pequenas empresas aplicam os patches, deixando-os vulneráveis à exploração. Depois de obter acesso a um roteador, o objetivo principal do ZuoRAT é a coleta de dados confidenciais. Ele espiona as comunicações que passam pelo roteador e realiza ataques man-in-the-middle (MitM) no tráfego HTTP e DNS.

Como um RAT, o malware também fornece ao invasor a capacidade de controlar remotamente o dispositivo infectado. Depois de coletar informações sobre o dispositivo infectado e a rede à qual ele está conectado, o operador do malware pode decidir executar determinados comandos nos sistemas ou fazer download de módulos adicionais.

A modularidade do ZuoRAT proporciona uma ampla gama de recursos. Estima-se que 2.500 módulos diferentes tenham sido identificados para o malwarepermitindo que os invasores lancem ataques altamente personalizados contra sistemas e redes infectados.

Como se proteger contra o malware ZuoRAT

Algumas práticas recomendadas de segurança que podem ajudar a proteger contra esses ataques incluem:

• Inventário de dispositivos: O ZuoRAT aproveita o fato de que muitos proprietários de roteadores SOHO não sabem qual dispositivo possuem, o que os torna menos propensos a responder a relatórios de uma vulnerabilidade ativamente explorada. A manutenção de um inventário completo dos dispositivos de TI ajuda a garantir que os dispositivos não sejam esquecidos.
• Gerenciamento de patches: O ZuoRAT explora vulnerabilidades conhecidas publicamente para obter acesso a dispositivos vulneráveis. A instalação imediata de patches e atualizações, quando estiverem disponíveis, pode eliminar possíveis problemas de segurança de API antes que eles possam ser explorados por um invasor.
• Segurança de rede: O ZuoRAT se envolve em várias ações maliciosas, incluindo ataques MitM e download de módulos maliciosos e outras variantes de malware. O monitoramento de rede e o Sistema de prevenção de intrusão (IPS) podem ajudar a detectar e corrigir essas ameaças.
• Segurança na Web: O ZuoRAT pode ser usado para ataques HTTP MitM, que redirecionam o tráfego dos usuários para outros sites. As soluções de segurança da Web podem ajudar a identificar redirecionamentos mal-intencionados e impedir que o malware seja entregue aos dispositivos dos usuários por meio de phishing páginas.
• Gerenciamento de acesso: Esse malware compromete roteadores, espiona o tráfego e pode ser usado em ataques de pulverização de senhas e similares. Todos esses métodos podem ser usados para comprometer as credenciais do usuário, o que torna o gerenciamento de acesso robusto - incluindo controles de acesso com privilégios mínimos e autenticação multifatorial - essencial para a proteção contra ataques de sequestro de contas (ATO).