Migliaia di router Linux infettati dal malware AVrecon per creare botnet

Anche i malware sono piuttosto bravi a eludere il rilevamento

I ricercatori di sicurezza di Lumen Black Lotus Labs hanno scoperto un trojan di accesso remoto basato su Linux che ha infettato i router di piccoli uffici/uffici domestici (SOHO) praticamente senza essere rilevato per un periodo che dura da più di due anni.

Citato brevemente nel maggio 2021, il trojan denominato AVrecon è stato utilizzato per creare servizi proxy residenziali progettati per nascondere una serie di attività dannose come lo spraying di password, il proxying del traffico web e le frodi pubblicitarie.

Con oltre 70.000 indirizzi IP distinti provenienti da 20 paesi che comunicano con 15 C2 unici di seconda fase in una finestra di 28 giorni e 41.000 nodi classificati come infetti persistentemente, la portata di questa campagna pluriennale potrebbe essere preoccupante.

L'analisi del malware conferma che è scritto in C, apprezzato per la sua portabilità, e prende di mira i dispositivi incorporati ARM.

>Questi sono i migliori firewall in circolazione>I router Cisco vengono presi di mira da malware russo personalizzato>Se hai un router Asus, devi aggiornarlo subito o rischi di essere hackerato

AVrecon controlla innanzitutto la presenza di altre istanze di se stesso sul computer host e interrompe i processi esistenti. In caso contrario, verrà rimosso dalla macchina, probabilmente nel tentativo di eludere il rilevamento.

In definitiva, Lumen ritiene che il malware sia progettato per utilizzare le macchine infette per fare clic su vari annunci di Facebook e Google e per interagire con Microsoft Outlook, probabilmente in un più ampio tentativo di frode pubblicitaria.

La sintesi conclude che la diffusione delle password e/o l'esfiltrazione dei dati potrebbero quindi essere un'attività secondaria.

L'obiettivo sembra essere il riciclaggio di attività dannose utilizzando la larghezza di banda della vittima per creare un servizio proxy residenziale, che difficilmente attirerà gli stessi livelli di attenzione dei servizi VPN disponibili in commercio.

Poiché l'impatto per gli utenti finali è minimo, a differenza del crypto mining che comporta un notevole dispendio di risorse, Black Lotus Labs afferma: "è improbabile che giustifichi il volume di denunce di abuso che in genere attirano la forza bruta su Internet e le botnet basate su DDoS."

Praticare una buona igiene di Internet è fondamentale per la prevenzione, che in questo caso include il riavvio regolare dei router e l’applicazione degli aggiornamenti del firmware.

Iscriviti alla newsletter di TechRadar Pro per ricevere tutte le principali notizie, opinioni, funzionalità e indicazioni di cui la tua azienda ha bisogno per avere successo!

Con diversi anni di esperienza come freelance nei circoli tecnologici e automobilistici, gli interessi specifici di Craig risiedono nella tecnologia progettata per migliorare le nostre vite, tra cui AI e ML, aiuti alla produttività e fitness intelligente. È anche appassionato di automobili e di decarbonizzazione del trasporto personale. In qualità di appassionato cacciatore di occasioni, puoi essere certo che qualsiasi affare trovato da Craig è di altissimo valore!

Microsoft sta ancora impedendo ad alcuni dei suoi maggiori clienti di eseguire app Windows

Squarespace Courses vuole aiutarti a condividere la tua esperienza con il mondo

ViewFinity S9 di Samsung potrebbe essere il monitor che i creativi stavano cercando

Di Darren Allan28 agosto 2023

Di Craig Hale28 agosto 2023

Di Keumars Afifi-Sabet28 agosto 2023

Di Sead Fadilpašić 28 agosto 2023

Di Darren Allan28 agosto 2023

Di Craig Hale28 agosto 2023

Di David Nield28 agosto 2023

Di David Nield28 agosto 2023

Di Sead Fadilpašić 28 agosto 2023

Di James Rogerson28 agosto 2023

Di Keumars Afifi-Sabet28 agosto 2023