Miles de enrutadores Linux infectados por el malware AVrecon para crear una botnet

El malware también es bastante bueno para evadir la detección

Los investigadores de seguridad de Lumen Black Lotus Labs han descubierto un troyano de acceso remoto basado en Linux que ha estado infectando enrutadores de oficinas pequeñas y domésticas (SOHO) prácticamente sin ser detectado durante un período que abarca más de dos años.

Al que se hace referencia brevemente en mayo de 2021, el troyano al que se hace referencia como AVrecon se ha utilizado para crear servicios de proxy residenciales diseñados para ocultar una variedad de actividades maliciosas como la pulverización de contraseñas, el proxy de tráfico web y el fraude publicitario.

Con más de 70.000 direcciones IP distintas de 20 países comunicándose con 15 C2 únicos de segunda etapa durante un período de 28 días y 41.000 nodos clasificados como infectados persistentemente, la escala de esta campaña de varios años podría ser preocupantemente grande.

El análisis del malware confirma que está escrito en C, valorado por su portabilidad y dirigido a dispositivos integrados en ARM.

>Estos son los mejores firewalls que existen>Los enrutadores Cisco están siendo atacados por malware ruso personalizado>Si tiene un enrutador Asus, debe parchearlo ahora o corre el riesgo de ser pirateado

AVrecon primero busca otras instancias de sí mismo en la máquina host y finaliza los procesos existentes. De no hacerlo, se retirará de la máquina, probablemente en un intento por evadir la detección.

En última instancia, Lumen considera que el malware está diseñado para utilizar las máquinas infectadas para hacer clic en varios anuncios de Facebook y Google, y para interactuar con Microsoft Outlook, probablemente en un esfuerzo de fraude publicitario más amplio.

El resumen concluye que la pulverización de contraseñas y/o la filtración de datos pueden, por lo tanto, ser una actividad secundaria.

El objetivo parece ser el blanqueo de actividades maliciosas mediante el uso del ancho de banda de la víctima para crear un servicio de proxy residencial, que es poco probable que atraiga los mismos niveles de atención que los servicios VPN disponibles comercialmente.

Debido a que hay poco impacto para los usuarios finales, a diferencia de la criptominería, que consume muchos recursos, Black Lotus Labs dice: "es poco probable que garantice el volumen de quejas de abuso que suelen generar las botnets de fuerza bruta en Internet y basadas en DDoS".

Practicar una buena higiene en Internet es fundamental para la prevención, que en este caso incluye reiniciar periódicamente los enrutadores y aplicar actualizaciones de firmware.

Suscríbase al boletín TechRadar Pro para recibir las principales noticias, opiniones, características y orientación que su empresa necesita para tener éxito.

Con varios años de experiencia trabajando independientemente en círculos tecnológicos y automotrices, los intereses específicos de Craig radican en la tecnología diseñada para mejorar nuestras vidas, incluida la IA y el aprendizaje automático, las ayudas a la productividad y el fitness inteligente. También le apasionan los coches y la descarbonización del transporte personal. Como ávido cazador de gangas, puedes estar seguro de que cualquier oferta que encuentre Craig será de gran valor.

Microsoft sigue impidiendo que algunos de sus clientes más importantes ejecuten aplicaciones de Windows

Squarespace Courses quiere ayudarte a compartir tu experiencia con el mundo

El ViewFinity S9 de Samsung puede ser el monitor que los creativos han estado buscando

Por Darren Allan28 de agosto de 2023

Por Craig Hale 28 de agosto de 2023

Por Keumars Afifi-Sabet 28 de agosto de 2023

Por Sead Fadilpašić 28 de agosto de 2023

Por Darren Allan28 de agosto de 2023

Por Craig Hale 28 de agosto de 2023

Por David Nield28 de agosto de 2023

Por David Nield28 de agosto de 2023

Por Sead Fadilpašić 28 de agosto de 2023

Por James Rogerson28 de agosto de 2023

Por Keumars Afifi-Sabet 28 de agosto de 2023