Se ha encontrado una nueva cepa de malware dirigida de forma encubierta a enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) durante más de dos años, infiltrándose en más de 70 000 dispositivos y creando una botnet con 40 000 nodos en 20 países.
Lumen Black Lotus Labs ha denominado el malware AVreconlo que la convierte en la tercera cepa de este tipo que se centra en los enrutadores SOHO después de ZuoRAT y HiatusRAT durante el año pasado.
«Esto convierte a AVrecon en una de las redes de bots dirigidas a enrutadores SOHO más grandes jamás vistas», dijo la compañía. dicho. «El propósito de la campaña parece ser la creación de una red encubierta para permitir silenciosamente una variedad de actividades delictivas, desde la difusión de contraseñas hasta el fraude publicitario digital».
La mayoría de las infecciones se encuentran en el Reino Unido y los EE. UU., seguidos de Argentina, Nigeria, Brasil, Italia, Bangladesh, Vietnam, India, Rusia y Sudáfrica, entre otros.
AVrecon fue resaltado por primera vez por Ye (Seth) Jin, investigador sénior de seguridad de Kaspersky, en mayo de 2021, lo que indica que el malware ha logrado evitar la detección hasta ahora.
En la cadena de ataque detallada por Lumen, una infección exitosa es seguida por la enumeración del enrutador SOHO de la víctima y la exfiltración de esa información a un servidor integrado de comando y control (C2).
También verifica si otras instancias de malware ya se están ejecutando en el host al buscar procesos existentes en el puerto 48102 y abrir un oyente en ese puerto. Se termina un proceso vinculado a ese puerto.
La siguiente etapa implica que el sistema comprometido establezca contacto con un servidor separado, llamado servidor C2 secundario, para esperar más comandos. Lumen dijo que identificó 15 de estos servidores únicos que han estado activos desde al menos octubre de 2021.
Vale la pena señalar que la infraestructura C2 en niveles prevalece entre las botnets notorias como Emotete y QakBot.
Protéjase contra las amenazas internas: Domine la gestión de la postura de seguridad de SaaS
¿Preocupado por las amenazas internas? ¡Te tenemos cubierto! Únase a este seminario web para explorar estrategias prácticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.
AVrecon está escrito en el lenguaje de programación C, lo que facilita la portabilidad del malware para diferentes arquitecturas. Además, una razón fundamental por la que estos ataques funcionan es que aprovechan la infraestructura que vive al límite y que normalmente carece de soporte para soluciones de seguridad.
La evidencia reunida hasta ahora apunta a que la botnet se usa para hacer clic en varios anuncios de Facebook y Google, y para interactuar con Microsoft Outlook. Esto probablemente indica un esfuerzo doble para realizar fraudes publicitarios y exfiltración de datos.
«La forma de ataque parece centrarse predominantemente en robar ancho de banda, sin afectar a los usuarios finales, para crear un servicio de proxy residencial para ayudar a lavar actividades maliciosas y evitar atraer el mismo nivel de atención de los servicios ocultos de Tor o los servicios VPN disponibles comercialmente. ”, dijeron los investigadores.