Se ha encontrado una nueva cepa de malware dirigida de forma encubierta a enrutadores de oficinas peque\u00f1as\/oficinas dom\u00e9sticas (SOHO) durante m\u00e1s de dos a\u00f1os, infiltr\u00e1ndose en m\u00e1s de 70 000 dispositivos y creando una botnet con 40 000 nodos en 20 pa\u00edses.<\/p>\n
Lumen Black Lotus Labs ha denominado el malware AVrecon<\/strong>lo que la convierte en la tercera cepa de este tipo que se centra en los enrutadores SOHO despu\u00e9s de ZuoRAT y HiatusRAT durante el a\u00f1o pasado.<\/p>\n “Esto convierte a AVrecon en una de las redes de bots dirigidas a enrutadores SOHO m\u00e1s grandes jam\u00e1s vistas”, dijo la compa\u00f1\u00eda. dicho<\/a>. “El prop\u00f3sito de la campa\u00f1a parece ser la creaci\u00f3n de una red encubierta para permitir silenciosamente una variedad de actividades delictivas, desde la difusi\u00f3n de contrase\u00f1as hasta el fraude publicitario digital”.<\/p>\n La mayor\u00eda de las infecciones se encuentran en el Reino Unido y los EE. UU., seguidos de Argentina, Nigeria, Brasil, Italia, Bangladesh, Vietnam, India, Rusia y Sud\u00e1frica, entre otros.<\/p>\n AVrecon fue resaltado por primera vez<\/a> por Ye (Seth) Jin, investigador s\u00e9nior de seguridad de Kaspersky, en mayo de 2021, lo que indica que el malware ha logrado evitar la detecci\u00f3n hasta ahora.<\/p>\n En la cadena de ataque detallada por Lumen, una infecci\u00f3n exitosa es seguida por la enumeraci\u00f3n del enrutador SOHO de la v\u00edctima y la exfiltraci\u00f3n de esa informaci\u00f3n a un servidor integrado de comando y control (C2).<\/p>\n Tambi\u00e9n verifica si otras instancias de malware ya se est\u00e1n ejecutando en el host al buscar procesos existentes en el puerto 48102 y abrir un oyente en ese puerto. Se termina un proceso vinculado a ese puerto.<\/p>\n La siguiente etapa implica que el sistema comprometido establezca contacto con un servidor separado, llamado servidor C2 secundario, para esperar m\u00e1s comandos. Lumen dijo que identific\u00f3 15 de estos servidores \u00fanicos que han estado activos desde al menos octubre de 2021.<\/p>\n Vale la pena se\u00f1alar que la infraestructura C2 en niveles prevalece entre las botnets notorias como Emotete<\/a> y QakBot.<\/p>\n Prot\u00e9jase contra las amenazas internas: Domine la gesti\u00f3n de la postura de seguridad de SaaS<\/p>\n <\/a><\/p>\n \u00bfPreocupado por las amenazas internas? \u00a1Te tenemos cubierto! \u00danase a este seminario web para explorar estrategias pr\u00e1cticas y los secretos de la seguridad proactiva con SaaS Security Posture Management.<\/p>\n![\"Red](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/07\/1689328182_847_El-nuevo-enrutador-SOHO-Botnet-AVrecon-se-extiende-a-70.jpg\" "\\"Red")
<\/div>\n