Uma nova campanha de malware, conhecida como "Hiatus", tem como alvo roteadores de pequenas empresas para roubar dados e espionar as vítimas.
Nova campanha de malware "Hiatus" ataca roteadores de negócios
Uma nova campanha de malware, apelidada de "Hiatus", tem como alvo roteadores de pequenas empresas que usam o malware HiatiusRAT.
Em 6 de março de 2023, a empresa de pesquisa Lumen publicou uma postagem no blog discutindo essa campanha maliciosa. No postagem no blog Lumen, foi declarado que "Lumen Black Lotus Labs® identificou outra campanha nunca antes vista envolvendo roteadores comprometidos."
HiatusRAT é um tipo de malware conhecido como Trojan de acesso remoto (RAT). Os cavalos de Tróia de acesso remoto são usados por cibercriminosos para obter acesso remoto e controle de um dispositivo visado. A versão mais recente do malware HiatusRAT parece estar em uso desde julho de 2022.
Na postagem do blog Lumen, também foi declarado que "HiatusRAT permite que o agente da ameaça interaja remotamente com o sistema e utiliza funcionalidade pré-construída - algumas das quais são altamente incomuns - para converter a máquina comprometida em um proxy secreto para o ator de ameaça."
Usando o utilitário de linha de comando "tcpdump", o HiatusRAT pode capturar o tráfego de rede que passa pelo roteador de destino, permitindo o roubo de dados. Lumen também especulou que os operadores maliciosos envolvidos neste ataque pretendem configurar uma rede proxy secreta por meio do ataque.
HiatusRAT está visando tipos específicos de roteadores
O malware HiatusRAT está sendo usado para atacar roteadores DrayTek Vigor VPN em fim de vida, especificamente os modelos 2690 e 3900 executando uma arquitetura i386. Estes são roteadores de alta largura de banda usados por empresas para fornecer suporte VPN a funcionários remotos.
Esses modelos de roteadores são comumente usados por proprietários de empresas de pequeno a médio porte, que correm o risco de serem alvo dessa campanha. Os pesquisadores não sabem como esses roteadores DrayTek Vigor foram infiltrados no momento da redação deste artigo.
Mais de 4.000 máquinas foram consideradas vulneráveis a essa campanha de malware em meados de fevereiro, o que significa que muitas empresas ainda correm risco de ataque.
Os invasores estão visando apenas alguns roteadores DrayTek
De todos os roteadores DrayTek 2690 e 3900 conectados à Internet hoje, a Lumen relatou uma taxa de infecção de apenas 2%.
Isso indica que os operadores mal-intencionados estão tentando manter sua pegada digital no mínimo para limitar a exposição e evitar a detecção. Lumen também sugeriu na postagem do blog mencionada anteriormente que essa tática também está sendo usada por invasores para "manter pontos críticos de presença".
HiatusRAT representa um risco contínuo
No momento da redação deste artigo, o HiatusRAT representa um risco para muitas pequenas empresas, com milhares de roteadores ainda expostos a esse malware. O tempo dirá quantos roteadores DrayTek foram alvejados com sucesso nesta campanha maliciosa.
