Los investigadores de ciberseguridad de Black Lotus Labs descubrieron recientemente una nueva campaña que utiliza enrutadores comerciales vulnerables (se abre en una nueva pestaña) para robar datos confidenciales y crear una red proxy secreta.
Según lo informado por BleepingComputer (se abre en una nueva pestaña), los investigadores descubrieron que dos modelos de enrutadores DrayTek Vigor, 2960 y 3900, se utilizan para distribuir malware llamado HiatusRAT.
Este troyano de acceso remoto se usa para descargar más cargas útiles maliciosas que ejecutan varios comandos en el punto final infectado y convierten el dispositivo en un proxy SOCKS5 para transmitir comandos y controlar el tráfico del servidor.
Robo de datos y ejecución de archivos
La mayoría de las víctimas, dice el informe, se encuentran en Europa, América del Norte y América del Sur. Los investigadores no saben cuál es el punto de contacto inicial para los dispositivos infectados.
Sin embargo, aplicaron ingeniería inversa al malware y descubrieron que roba datos del sistema (dirección MAC, versión del kernel, etc.), datos de red (direcciones IP), datos del sistema de archivos y datos de procesos (nombres de procesos, identificadores, UID, etc.). ). .). Además, la RAT envía un POST de latido al servidor cada ocho horas, que los atacantes utilizan para monitorear el dispositivo infectado.
Además, puede leer, eliminar y descargar archivos, descargar y ejecutar programas, pasar cualquier conjunto de datos TCP al puerto de escucha del host y detenerse si es necesario.
Los investigadores dicen que todo esto es necesario para que los actores de amenazas aprovechen los datos confidenciales que pasan por el enrutador.
“Una vez que los datos de captura de este paquete alcanzan una cierta longitud de archivo, se envían a la “descarga C2” ubicada en 46.8.113227, así como información sobre el enrutador host”, explicaron los investigadores. “Esto permite que el actor de amenazas capture pasivamente el tráfico de correo electrónico que ha pasado a través del enrutador y parte del tráfico de transferencia de archivos.
Aunque pocas empresas están infectadas con Hiatus, su impacto aún puede ser significativo, dijeron los investigadores, porque los piratas informáticos pueden robar credenciales de correo electrónico y FTP.
Через: BleepingComputer (открывается в новой вкладке)