I ricercatori di sicurezza di Lumen Black Lotus Labs hanno scoperto una nuova minaccia che ad oggi avrebbe già infettato un'ampia gamma di router SOHO sia in Europa che in Nord America, un attacco malware più elaborato del solito in grado di assumere il controllo di dispositivi che eseguono Windows, Linux o macOS. Secondo gli esperti, questo attacco risale già al 2020 e nel corso degli ultimi due anni sarebbe ulteriormente stato "migliorato" per consentire una diffusione sempre maggiore in ambienti domestici.

Alla base di questa "nuova" minaccia c'è ZouRAT, un trojan che fa parte di una campagna malware molto più ampia portata avanti da un gruppo di hacker fin dall'inizio della pandemia, per intenderci quando esplose il fenomeno dello smart working e in generale del lavoro/studio da remoto.

Come di consueto, il trojan prende di mira particolari router consumer con firmware vulnerabili, modelli che a differenza delle soluzioni professionali non sono costantemente aggiornati, permettendo attacchi del genere e rischiando quindi di compromettere i dati degli utenti.

Andando nel dettaglio, ZouRAT è un trojan di accesso remoto (ben nascosto) che, dopo essersi fatto strada nel router, permette ai malintenzionati di utilizzare il dirottamento DNS e HTTP per installare ulteriori malware (Beacon e GoBeacon) nonché lo strumento di hacking Cobalt Strike. Allo stato attuale non è noto quale sia il gruppo dietro questo attacco che, sempre secondo il report, utilizza non meno di quattro diversi codici malevoli; attualmente sono stati rilevati almeno 80 "bersagli" esposti a questa vulnerabilità, soprattutto per router marchiati ASUS, Cisco e Netgear. Inutile dire che i router vulnerabili e infetti mettono a rischio tutti gli utenti che utilizzano quella precisa rete, si spera quindi che le aziende possano rilasciare un firmware aggiornato a breve termine.