Malware ZuoRAT infecta routers e computadores

Investigadores descobriram um malware particularmente avançado, ZuoRAR, que pode infectar routers e computadores e que tem estado em operação desde o final de 2020.

Este malware está a fascinar os investigadores pela sua complexidade e pelas suas capacidades. O ZuoRAT é capaz de infectar routers de marcas populares como a Cisco, Netgear, Asus, e DrayTek, e de seguida efecutar ataques de DNS e HTTP hijacking para fazer com que computadores na rede instalem malware. A arquitectura da cadeia de comando para controlar os dispositivos infectados também demonstra um nível de conhecimento elevado, utilizando dezenas de servidores e até redireccionando o tráfego através do Canadá para dificultar a tarefa de detecção de envio suspeito de dados para países como a China.

Estes ataques que infectam routers são particularmente preocupantes por vários factores. Primeiro, ao contrário dos PCs que normalmente contam com sistema de detecção de virus e malware ou que exibem sintomas visíveis em caso de infecção, os routers são dispositivos aos quais raramente se presta atenção; desde que estejam a funcionar, poucas serão as pessoas que se darão ao trabalho de fazer actualizações. Em segundo lugar, o router é um dispositivo privilegiado que dá acesso às comunicações de toda uma rede, permitindo a potencial infecção ou monitorização de dezenas ou centenas de equipamentos adicionais.

Felizmente, este ZuoRAT não é persistente, bastando fazer um reboot do router para o limpar - mas não invalidando uma possível reinfecção no caso de já ter infectado outros computadores da rede, que poderão posteriormente voltar a aplicá-lo no router. Mas, pelo menos relembra que nunca será má ideia agendar o router para fazer um reboot diário, ou usar um módulo de tomada com agendamento programado para fazer um desligar / ligar.