Bild: Pixabay

Wie die meiste Router-Malware wird jedoch auch ZuoRAT durch einen Neustart beseitigt.

Forscher*innen des US-Kommunikationsunternehmens Lumen Technologies gaben am 28. Juni bekannt, dass sie rund 80 Router ausmachen konnten, die von der Malware infiziert wurden. Die Geräte stammen dabei von Cisco, Netgear, Asus und DrayTek. Es handelt sich dabei um sogenannte SoHo-Router, die meist in kleinen Büros oder im Homeoffice eingesetzt werden.

Nach der Installation listet der ZuoRAT genannte Trojaner die mit dem infizierten Router verbundenen Geräte auf. Die Angreifer*innen können dann DNS-Hijacking und HTTP-Hijacking verwenden, um angeschlossene Geräte dazu zu bringen, andere Malware zu installieren. Bei DNS-Hijacking werden die Nutzer*innen des Routernetzwerks etwa auf Webseiten umgeleitet, die unter der Kontrolle der Angreifer*innen stehen. Bei HTTP-Hijacking werden User*innen ebenso auf andere IP-Adresse umgeleitet.