Si vous avez votre propre routeur WiFi attention : un dangereux trojan vise de nombreux modèles de certaines marques, notamment Cisco, Netgear, Asus et DayTek. ZuoRAT c’est son nom, apparait dans le sillage d’une vaste campagne visant les routeurs dont les premières mentions remontent à 2020.
Le malware en question est spécifiquement écrit pour tourner sur l’architecture MIPS utilisée par les puces dans ces appareils. ZuoRAT peut lister les appareils connectés au routeur, collecter les requêtes DNS, et intercepter l’ensemble du traffic internet, le tout sans être détecté. Le niveau de sophistication du malware suggère qu’un Etat est à l’origine de son développement.
Les routeurs de plusieurs marques sont visés par le malware ZuoRAT
Le risque principal posé par ce malware c’est qu’il devient possible à tout moment de réaliser une attaque de type man-in-the-middle sur votre réseau local. Dans un tel scénario, il devient possible d’épier la moindre de vos activités sur internet. Le malware proprement dit est scindé en quatre modules, dont trois semblent complètement nouveaux et écrits de A à Z par les commanditaires.
Le premier module ressemble au malware Mirai qui avait causé la plus grosse attaque DDoS jamais répertoriée, bloquant une partie du réseau internet pendant des jours – le reste est totalement inédit. ZuoRAT se propage en exploitant les vulnérabilités des routeurs résidentiels qui ne sont pas régulièrement mis à jour.
Une fois installé, ZuoRAT transmet aux pirates une liste de tous les appareils connectés au réseau local. De là, le commanditaire peut installer d’autres malware sur les appareils du réseau local, en utilisant les techniques de DNS hijacking et de HTTP hijaking. Concrètement, en pensant cliquer sur un lien inoffensif, vous téléchargez à la place un programme malveillant.
Parmi les malware additionnels détectés, CBeacon vise les machines sous Windows. Un autre module, baptisé GoBeacon, sert à infecter les machines Linux et macOS connectées au réseau local. ZuoRAT permet également d’infecter davantage d’appareils grâce à sa compatibilité avec la très utilisée suite de piratage / pentesting Cobalt Strike.
Lire aussi – Ce malware redoutable se propage à vitesse grand V sur les routeurs et objets connectés
Tous les vendeurs de routeurs ne proposent hélas pas de mises à jour régulières. Mais dans la mesure du possible, la meilleure manière de se protéger contre ZuoRAT est de bien appliquer les dernières mises à jour disponibles pour votre routeur. Si le fabricant a décidé de ne plus délivrer de mises à jour régulières, alors on vous recommande de passer sur un autre appareil plus récent, et mieux pris en charge par le constructeur.
📍 Pour ne manquer aucune actualité de Presse-citron, suivez-nous sur Google Actualités et WhatsApp.
