Descubren una nueva cepa de malware que ha estado atacando sigilosamente los routers de oficinas pequeñas/oficinas domésticas (SOHO) durante más de dos años, infiltrándose en más de 70.000 dispositivos y creando una botnet con 40.000 nodos distribuidos en 20 países.
Lumen Black Lotus Labs ha denominado al malware AVrecon, convirtiéndolo en la tercera cepa de este tipo que se enfoca en los routers SOHO en el último año, después de ZuoRAT y HiatusRAT.
"Esto convierte a AVrecon en una de las mayores botnets que se dirigen a routers SOHO jamás vistas", afirmó la compañía. "El propósito de la campaña parece ser la creación de una red encubierta para permitir en silencio una variedad de actividades delictivas, desde ataques de fuerza bruta de contraseñas hasta fraude publicitario digital".
La mayoría de las infecciones se encuentran en el Reino Unido y Estados Unidos, seguidos de Argentina, Nigeria, Brasil, Italia, Bangladesh, Vietnam, India, Rusia y Sudáfrica, entre otros países.
AVrecon fue destacado por primera vez por Ye (Seth) Jin, investigador principal de seguridad de Kaspersky, en mayo de 2021, lo que indica que el malware ha logrado evitar la detección hasta ahora.
Según la cadena de ataque detallada por Lumen, una vez que se ha logrado la infección, se procede a enumerar el router SOHO de la víctima y a extraer esa información hacia un servidor de comando y control (C2) incrustado.
También verifica si hay otras instancias de malware ya en ejecución en el host mediante la búsqueda de procesos existentes en el puerto 48102 y abre un escucha en ese puerto. Si hay un proceso asociado a ese puerto, se termina.
Botnet de Routers SOHO
La siguiente etapa implica que el sistema comprometido establezca contacto con un servidor separado, llamado servidor C2 secundario, para esperar órdenes adicionales. Lumen afirmó haber identificado 15 de estos servidores únicos que han estado activos desde al menos octubre de 2021.
Vale la pena señalar que la infraestructura de C2 jerarquizada es común en botnets notorias como Emotet y QakBot.
Hasta ahora, las pruebas recopiladas apuntan a que la botnet se utiliza para hacer clic en diversos anuncios de Facebook y Google, y para interactuar con Microsoft Outlook. Esto indica probablemente un esfuerzo de doble vía para llevar a cabo fraude publicitario y exfiltración de datos.
"La forma de ataque parece centrarse principalmente en robar ancho de banda, sin afectar a los usuarios finales, con el fin de crear un servicio de proxy residencial que ayude a lavar actividades maliciosas y evitar atraer el mismo nivel de atención que los servicios ocultos de Tor o los servicios de VPN disponibles comercialmente", afirmaron los investigadores.
https://blog.lumen.com/routers-from-the-underground-exposing-avrecon/
%2014.04.55.png)
