HiatusRAT Targets Router Firmware

Pesquisadores do Lumen Black Lotus Labs descobriram uma nova campanha de malware que eles chamaram de "Hiatus". Esta campanha visa roteadores de nível empresarial, principalmente os modelos DrayTek Vigor 2960 e 3900, que podem suportar conexões VPN para trabalhadores remotos e são ideais para empresas de médio porte. Uma vez infectado, o malware implanta dois binários maliciosos - um Trojan de acesso remoto (RAT) conhecido como HiatusRAT.

O HiatusRAT permite que os invasores interajam remotamente com o sistema infectado e o convertam em um proxy secreto. O binário focado na captura de pacotes permite que o ator monitore o tráfego do roteador nas portas associadas com comunicações de e-mail e transferência de arquivos. Os agentes de ameaças por trás da campanha visaram principalmente roteadores em fim de vida executando uma arquitetura i386, mas também foram descobertos binários pré-construídos que visam MIPS, i386 e chips baseados em ARM.

O Lumen Black Lotus Labs® identificou pelo menos 100 vítimas infectadas, principalmente na Europa e na América Latina, usando telemetria proprietária do backbone IP global Lumen. A versão mais recente do malware tornou-se ativa em meados de 2022. Suspeita-se que a campanha tenha como alvo a coleta de dados e o estabelecimento de uma rede proxy secreta.

A campanha Hiatus é composta por três componentes: um script bash, HiatusRAT, e uma variante do tcpdump que permite a captura de pacotes. O HiatusRAT serve a dois propósitos - interagir remotamente com o dispositivo infectado e atuar como um dispositivo proxy SOCKS5 no roteador. Isso permite que o ator faça proxy do tráfego C&C por meio do roteador para ofuscar o comando e o controle de um agente adicional em outro lugar.

O que é um Trojan de acesso remoto?

Um Trojan de acesso remoto (RAT) é um tipo de software malicioso que fornece acesso não autorizado ao computador ou à rede da vítima. Os RATs geralmente se espalham por e-mails de phishing, táticas de engenharia social ou exploits de software. Depois de instalado, o invasor obtém controle remoto sobre o dispositivo comprometido e pode executar várias ações, como roubar dados confidenciais, modificar arquivos ou instalar malware adicional. Os RATs também podem ser usados para espionar as atividades da vítima, gravar as teclas digitadas, tirar screenshots e ligar a câmera e o microfone da vítima. Os RATs são considerados uma grave ameaça à privacidade e à segurança, e os usuários devem tomar medidas para impedir sua instalação, como manter o software antivírus atualizado e evitar anexos de e-mail ou downloads suspeitos.