Une nouvelle souche de logiciels malveillants a été découverte secrètement ciblant les routeurs des petits bureaux/bureaux à domicile (SOHO) pendant plus de deux ans, infiltrant plus de 70 000 appareils et créant un botnet avec 40 000 nœuds couvrant 20 pays.
Lumen Black Lotus Labs a surnommé le malware AVreconce qui en fait la troisième variété de ce type à se concentrer sur les routeurs SOHO après ZuoRAT et HiatusRAT au cours de l’année écoulée.
« Cela fait d’AVrecon l’un des plus grands botnets ciblant les routeurs SOHO jamais vus », a déclaré la société. a dit. « Le but de la campagne semble être la création d’un réseau secret pour permettre discrètement une gamme d’activités criminelles allant de la pulvérisation de mots de passe à la fraude publicitaire numérique. »
La majorité des infections se situent au Royaume-Uni et aux États-Unis, suivis par l’Argentine, le Nigeria, le Brésil, l’Italie, le Bangladesh, le Vietnam, l’Inde, la Russie et l’Afrique du Sud, entre autres.
AVrecon était d’abord mis en évidence par le chercheur principal en sécurité de Kaspersky Ye (Seth) Jin en mai 2021, indiquant que le logiciel malveillant a réussi à éviter la détection jusqu’à présent.
Dans la chaîne d’attaque détaillée par Lumen, une infection réussie est suivie de l’énumération du routeur SOHO de la victime et de l’exfiltration de ces informations vers un serveur de commande et de contrôle (C2) intégré.
Il vérifie également si d’autres instances de logiciels malveillants sont déjà en cours d’exécution sur l’hôte en recherchant les processus existants sur le port 48102 et en ouvrant un écouteur sur ce port. Un processus lié à ce port est terminé.
L’étape suivante implique que le système compromis établisse un contact avec un serveur séparé, appelé serveur C2 secondaire, pour attendre d’autres commandes. Lumen a déclaré avoir identifié 15 de ces serveurs uniques qui sont actifs depuis au moins octobre 2021.
Il convient de noter que l’infrastructure C2 à plusieurs niveaux est répandue parmi les botnets notoires tels que émoticône et QakBot.
Bouclier contre les menaces internes : maîtriser la gestion de la posture de sécurité SaaS
Inquiet des menaces internes ? Nous avons ce qu’il vous faut! Rejoignez ce webinaire pour explorer les stratégies pratiques et les secrets de la sécurité proactive avec la gestion de la posture de sécurité SaaS.
AVrecon est écrit dans le langage de programmation C, ce qui facilite le portage du malware pour différentes architectures. De plus, l’une des raisons essentielles pour lesquelles de telles attaques fonctionnent est qu’elles exploitent une infrastructure en périphérie qui ne prend généralement pas en charge les solutions de sécurité.
Les preuves recueillies jusqu’à présent indiquent que le botnet est utilisé pour cliquer sur diverses publicités Facebook et Google, et pour interagir avec Microsoft Outlook. Cela indique probablement un effort à deux volets pour mener une fraude publicitaire et une exfiltration de données.
« Le mode d’attaque semble se concentrer principalement sur le vol de bande passante – sans affecter les utilisateurs finaux – afin de créer un service proxy résidentiel pour aider à blanchir les activités malveillantes et éviter d’attirer le même niveau d’attention de la part des services cachés par Tor ou des services VPN disponibles dans le commerce. « , ont déclaré les chercheurs.