Trojan nosi nazwę ZuoRAT i wszystko na to wskazuje, że jest częścią wyrafinowanej kampanii hakerskiej i przez ostatnie miesiące atakował wiele biur i domowych stanowisk pracy funkcjonujących w USA oraz w Europie, wykradając z nich poufne informacje.

Badanie zagrożenia wskazuje na to, że malware został opracowany tuż po wybuchu pandemii, wtedy gdy wielu pracowników zaczęło pracować zdalnie w domu. Hakerzy od razu zorientowali się iż jest to znakomita okazja do wykradania z ich komputerów danych i opracowali malware ZuoRAT, który atakuje routery SOHO. Mieli ułatwione zadanie, gdyż posiadacze routerów tej klasy rzadko aktualizują zarządzające nimi oprogramowanie, dlatego zawierają one często wiele niezałatanych w porę luk. Są to routery produkowane przez znanych producnetów sprzętu tego rodzaju, takich jak ASUS, Cisco, DrayTek czy Netgear.

Zobacz również:

• Ponad pół miliona kont Roku w niebezpieczeństwie po ataku
• Co trzecia firma w Polsce z cyberincydentem
• Złośliwe oprogramowanie Qbot - czy jest groźne i jak się chronić?

Informatycy wyodrębnili cztery kluczowe elementy szkodliwego oprogramowania ZuoRAT, z których najważniejszym jest loader Windows napisany w języku C++. Pozostałe trzy to programy typu agent, które pobierają i przesyłają pliki, przechwytują ruch sieciowy oraz uruchamiają szkodliwy kod. Noszą one odpowiednio nazwy CBeacon, GoBeacon i Cobalt Strike

Dlatego użytkownicy takich routerów powinny je uważnie obserwować i przede wszystkim natychmiast sprawdzić, czy w ich pamięci rezyduje ostatnia wersja oprogramowania firmware, które nimi zarządza. Jeśli tak nie jest, firmware należy natychmiast zaktualizować.