Mais detalhes surgiram sobre um botnet chamado AVRecon, que foi observado utilizando roteadores de pequenos escritórios/domésticos (SOHO) comprometidos como parte de uma campanha ativa desde pelo menos maio de 2021.
O AVRecon foi divulgado pela primeira vez pelos Laboratórios Black Lotus da Lumen no início deste mês como um malware capaz de executar comandos adicionais e roubar a largura de banda das vítimas para o que parece ser um serviço de proxy ilegal disponibilizado para outros atores.
Ele também ultrapassou o QakBot em termos de escala, tendo infiltrado mais de 41.000 nós localizados em 20 países ao redor do mundo.
"O malware tem sido usado para criar serviços de proxy residencial para encobrir atividades maliciosas como pulverização de senhas, proxy de tráfego na web e fraude em anúncios", disseram os pesquisadores no relatório.
Isso foi corroborado por novas descobertas de KrebsOnSecurity e Spur.us, que na semana passada revelaram que "AVrecon é o motor de malware por trás de um serviço de 12 anos chamado SocksEscort, que aluga dispositivos residenciais e de pequenas empresas hackeados para criminosos cibernéticos que procuram ocultar sua verdadeira localização online."
A base para a conexão está nas correlações diretas entre SocksEscort e os servidores de comando e controle (C2) do AVRecon.
A SocksEscort também é dito compartilhar sobreposições com uma empresa da Moldávia chamada Server Management LLC que oferece uma solução de VPN móvel na Apple Store chamada HideIPVPN.
Os Labs Black Lotus informaram ao The Hacker News que a nova infraestrutura identificada em conexão com o malware exibia as mesmas características que os antigos C2s do AVRecon.
Roteadores e outros aparelhos periféricos tornaram-se alvos lucrativos nos últimos anos devido ao fato de esses dispositivos serem pouco atualizados contra problemas de segurança, podem não suportar soluções de detecção e resposta de endpoint (EDR) e são projetados para lidar com larguras de banda mais altas.
O AVRecon também representa uma ameaça maior por sua capacidade de gerar um shell em uma máquina comprometida, permitindo potencialmente que os atores de ameaças obfuscem seu próprio tráfego malicioso ou recuperem mais malware para pós-exploração.
"Embora esses bots estejam principalmente sendo adicionados ao serviço de proxy SocksEscort, havia funcionalidade incorporada no arquivo para gerar um shell remoto", disseram os pesquisadores.
"Isso poderia permitir que o ator da ameaça tivesse a capacidade de implantar módulos adicionais, então sugerimos que os provedores de segurança gerenciada tentem investigar esses dispositivos em suas redes, enquanto os usuários domésticos devem reiniciar seus dispositivos."
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...