Uma campanha de hacking chamada 'Hiatus' está mirando em modelos de roteadores DrayTek Vigor 2960 e 3900 para roubar dados das vítimas e construir uma rede proxy encoberta.
Os dispositivos DrayTek Vigor são roteadores VPN de classe empresarial usados por organizações de pequeno e médio porte para conectividade remota às redes corporativas.
A nova campanha de hacking, que começou em julho de 2022 e ainda está em andamento, depende de três componentes: um script bash malicioso, um malware chamado "HiatusRAT" e o 'tcpdump' legítimo, usado para capturar o tráfego de rede que flui pelo roteador.
O componente HiatusRAT é o aspecto mais interessante, dando à campanha seu nome.
A ferramenta é usada para baixar payloads adicionais, executar comandos no dispositivo comprometido e converter o dispositivo em um proxy SOCKS5 para passar o tráfego do servidor de comando e controle.
A campanha foi descoberta pelo Black Lotus Labs da Lumen, que relatou ter visto pelo menos cem empresas infectadas pelo HiatusRAT, principalmente na Europa, América do Norte e América do Sul.
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...