O FBI alerta que atores de ameaças estão implantando malware em roteadores end-of-life (EoL) para convertê-los em proxies vendidos nas redes 5Socks e Anyproxy.
Esses dispositivos, lançados há muitos anos atrás e que não recebem mais atualizações de segurança de seus fornecedores, são vulneráveis a ataques externos que exploram vulnerabilidades públicas disponíveis para injetar malware persistente.
Uma vez comprometidos, eles são adicionados a botnets de proxy residencial que roteiam tráfego malicioso.
Em muitos casos, esses proxies são usados por criminosos cibernéticos para conduzir atividades maliciosas ou ciberataques.
"Com a rede 5Socks e Anyproxy, criminosos estão vendendo acesso a roteadores comprometidos como proxies para clientes comprarem e usarem", explica o aviso do FBI Flash.
Os proxies podem ser usados por atores de ameaças para obfuscar sua identidade ou localização.
O aviso lista os seguintes modelos EoL da Linksys e Cisco como alvos comuns:
- Linksys E1200, E2500, E1000, E4200, E1500, E300, E3200, E1550
- Linksys WRT320N, WRT310N, WRT610N
- Cradlepoint E100
- Cisco M10
O FBI alerta que atores patrocinados pelo estado chinês exploraram vulnerabilidades conhecidas (n-day) nesses roteadores para conduzir campanhas de espionagem encobertas, incluindo operações que visam a infraestrutura crítica dos EUA.
Em um boletim relacionado, a agência confirma que muitos desses roteadores estão infectados com uma variante do malware "TheMoon", que permite aos atores de ameaças configurá-los como proxies.
"Roteadores end of life foram violados por atores cibernéticos usando variantes da botnet de malware TheMoon," lê-se no boletim do FBI.
Recentemente, alguns roteadores em fim de vida, com administração remota ativada, foram identificados como comprometidos por uma nova variante do malware TheMoon.
Esse malware permite que atores cibernéticos instalem proxies em roteadores de vítimas desavisadas e conduzam crimes cibernéticos de forma anônima.
Uma vez comprometidos, os roteadores se conectam a servidores de comando e controle (C2) para receber comandos a executar, como varrer e comprometer dispositivos vulneráveis na Internet.
O FBI diz que os proxies são então usados para evadir detecção durante roubo de criptomoedas, atividades de cibercrime por encomenda e outras operações ilegais.
Sinais comuns de comprometimento por uma botnet incluem interrupções na conectividade de rede, superaquecimento, degradação de desempenho, mudanças na configuração, aparecimento de usuários admin desconhecidos e tráfego de rede incomum.
A melhor maneira de mitigar o risco de infecções por botnet é substituir roteadores end-of-life por modelos novos, com suporte ativo.
Se isso for impossível, aplique a última atualização de firmware para seu modelo, obtida a partir do portal oficial de download do fornecedor, altere as credenciais padrão da conta admin e desligue painéis de administração remota.
O FBI compartilhou indicadores de comprometimento associados ao malware instalado em dispositivos EoL.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...