Los investigadores de ciberseguridad de Black Lotus Labs descubrieron recientemente una nueva campaña que utiliza enrutadores comerciales vulnerables (se abre en una pestaña nueva) para robar datos confidenciales y construir una red proxy encubierta.
Según lo informado por BleepingComputer (se abre en una pestaña nueva)los investigadores descubrieron que dos modelos de los enrutadores DrayTek Vigor, 2960 y 3900, se están utilizando para distribuir una pieza de malware llamada HiatusRAT.
Este troyano de acceso remoto se usa para descargar más cargas maliciosas que ejecutan varios comandos en el punto final infectado y convierten el dispositivo en un proxy SOCKS5 para pasar el tráfico del servidor de comando y control.
Robar datos y ejecutar archivos
La mayoría de las víctimas, dice el informe, están en Europa, América del Norte y América del Sur. Los investigadores no están seguros de cuál es el punto de contacto inicial para los dispositivos infectados.
Aún así, aplicaron ingeniería inversa al malware y descubrieron que roba datos del sistema (dirección MAC, versión del kernel, etc.), datos de red (direcciones IP), datos del sistema de archivos y datos de procesos (nombres de procesos, ID, UID, etc. .). Además, la RAT envía un POST de latido al servidor cada ocho horas, que los atacantes utilizan para monitorear el dispositivo infectado.
Además, puede leer, eliminar y cargar archivos, descargar y ejecutar programas, reenviar cualquier conjunto de datos TCP al puerto de escucha del host y detenerse si es necesario.
Los investigadores dicen que todo esto es necesario para que los actores de amenazas puedan obtener datos confidenciales que se mueven a través del enrutador.
«Una vez que los datos de captura de este paquete alcanzan una cierta longitud de archivo, se envían a «upload C2″ ubicado en 46.8.113[.]227 junto con información sobre el enrutador host», explicaron los investigadores. «Esto permite que el actor de amenazas capture de forma pasiva el tráfico de correo electrónico que atravesó el enrutador y parte del tráfico de transferencia de archivos».
Si bien no muchas empresas están infectadas con Hiatus, su impacto aún puede ser grande, dijeron los investigadores, ya que los piratas informáticos pueden robar credenciales de correo electrónico y FTP.
Vía: BleepingComputer (se abre en una pestaña nueva)