📅 Tal día como hoy 24 de noviembre... ¿QUÉ PASÓ?
Cursos Gratis Stories
Ganar Dinero Internet
Android Stories
Windows Stories
iOS Stories
MacOS Stories
Linux Stories
Facebook Stories
Amazon Stories
Netflix Stories
Whatsapp Stories
Twitch Stories
Instagram Stories
YouTube Stories
Gmail Stories
TikTok Stories
Arduino Stories
Telegram Stories
Raspberry Pi Stories

HiatusRAT; el nuevo malware que te espía y amenaza seriamente la seguridad de las empresas

Una nueva ciberamenaza llamada HiatusRAT ha llegado y coloca en peligro los enrutadores de las empresas tras ser considerado un malware espía muy potente

Nely Zambrano
Autor: Nely Zambrano
Fecha: 09 marzo, 2023 a las 15:07

Este 7 de marzo, Lumen Black Lotus Labs ha detectado un nuevo malware que está directamente dirigido a los enrutadores de oficinas pequeñas y domésticas, y que nunca antes había sido visto, por lo que ahora se enfrentan a algo totalmente nuevo. De manera que se trata de una campaña totalmente desconocida y que podría empezar a causar muchos inconvenientes.

Este tipo de campaña ha sido denominada como “Pausa”, la cual tiene como objetivo infectar enrutadores de nivel empresarial e implementar dos binarios maliciosos como un troyano de acceso remoto, el cual es conocido como HiatusRAT, considerado una amenaza muy seria para las compañías.

publicidad

Nace una nueva ciberamenaza; HiatusRAT

Nace una nueva ciberamenaza HiatusRAT

Las personas a cargo de esta amenaza, llevada a cabo con la campaña HiatusRAT, la han colocado en funcionamiento en los modelos 2960 y 3900 de DrayTek Vigor al final de su vida útil como una arquitectura de i386. De manera que tras la investigación realizada por parte de los investigadores de Lumen Black Lotus Labs, se logró descubrir la presencia de binarios preconstruidos.

Por ahora, los enrutadores afectados son de gran ancho de banda y admiten conexiones VPN para trabajadores remotos. Es así como los expertos en la materia aseguran que el malware infecta objetivos de interés para recolectar datos e información para lograr establecer una red proxy encubierta.

De manera que esta campaña HiatusRAT, hasta ahora desconocida en su gran parte, estaría conformada por tres componentes principales como el HiatoRAT, un script bash que se implementa después de la explotación y dos ejecutables recuperados, y una variante de tcpdump que permite capturar esos paquetes.

Al momento que el sistema que ha sido vulnerado por el malware HiatusRAT, entonces permite que el actor del ataque pueda empezar a interactuar de forma remota con el equipo, y gracias a esto consigue usar las funcionalidades preconstruidas, algunas de las cuales son muy inusuales.

Gracias a esto, el atacante es capaz de convertir la máquina comprometida en un proxy encubierto. Aquí el binario de captura de paquetes hace que el actor pueda monitorear el tráfico del enrutador en puertos asociados con las comunicaciones de transferencia de archivos y correo electrónico.

Por lo tanto, el análisis realizado por parte del equipo de Lumen Black Lotus Labs ha mostrado que la campaña de HiatusRAT tiene dos propósitos fundamentales. El primero de ellos, sería la de interactuar de manera remota con el dispositivo afectado, esto permitirá al atacante descargar archivos o ejecutar comandos arbitrarios.

El segundo propósito de HiatusRAT, sería funcionar como un dispositivo proxy SOCKS5 en el enrutador. Gracias a esto, el atacante puede enviar por proxy el tráfico de comando y el control a través del enrutador para así conseguir el manejo de un agente adicional en otro lugar.

Según el análisis realizado por los investigadores, han indicado que la última campaña de Hiatus fue en julio de 2022, pero aseguran tener sospechas de que este tipo de actividades por parte de estos ciberdelincuentes se realiza desde mucho antes.

Esto se debe a que han logrado observar a más de 100 bots conectados con Hiatus, lo que significa que es cerca de un 2% de los enrutadores DrayTEk 2960 y 3900 que están expuestos actualmente en Internet. Por lo tanto, esta información revelaría que la organización detrás del ataque mantiene intencionalmente una huella mínima para limitar su exposición y conseguir puntos críticos de presencia.

“Estos dispositivos generalmente viven fuera del perímetro de seguridad tradicional, lo que significa que generalmente no se monitorean ni actualizan. Esto ayuda al atacante a establecer y mantener la persistencia a lo largo del tiempo sin ser detectado”

Mark Dehus, director de inteligencia de amenazas de Lumen Black Lotus Labs

Por último, hay que mencionar que este descubrimiento ha llegado poco más de seis meses después de que Lumen Black Lotus Labs descubriera una campaña de malware no relacionada centrada en el enrutador que usada un nuevo troyano, el cual fue identificado en ese momento como ZuoRAT.

“El descubrimiento de HiatusRAT ha confirmado que los actores continúan buscando la explotación del enrutador. Estás campañas demuestran la necesidad de proteger el ecosistema de enrutadores, y los enrutadores deben monitorearse, reiniciarse y actualizarse regularmente, mientras que los dispositivos al final de su vida útil deben reemplazarse”

Mark Dehus, director de inteligencia de amenazas de Lumen Black Lotus Labs

🔥ÚNETE🔥 A LA NUEVA COMUNIDAD DE IP@P ¡APÚNTATE AQUÍ!

Si te quedaste con alguna duda, déjalas en los comentarios, te contestaremos lo antes posible, además seguro que será de gran ayuda para más miembros de la comunidad. Gracias! 😉

Temas

Nely Zambrano
Autor: Nely Zambrano

Tengo gran experiencia en el ámbito tecnológico, mis especialidades son el diseño gráfico, las redes sociales y el Marketing Digital. Windows y Android son mi especialidad.

Publicidad

Últimas Noticias

Deja un comentario