Desde al menos mayo de 2021, el sigiloso malware para Linux llamado AVrecon se utilizó para infectar más de 70.000 routers para pequeñas oficinas y oficinas domésticas (SOHO) basados en Linux y añadirlos a una botnet diseñada para robar ancho de banda y proporcionar un servicio proxy residencial oculto.
Esto permite a sus operadores ocultar un amplio espectro de actividades maliciosas, desde el fraude publicitario digital hasta el espionaje de contraseñas.
Según el equipo de investigación de amenazas Black Lotus Labs de Lumen, mientras que el troyano de acceso remoto (RAT) AVrecon comprometió más de 70.000 dispositivos, sólo 40.000 se añadieron a la red de bots después de ganar persistencia.
El malware ha logrado eludir la detección desde que se detectó por primera vez en mayo de 2021, cuando se dirigía a los routers Netgear. Desde entonces, pasó más de dos años sin ser detectado, atrapando lentamente nuevos bots y creciendo hasta convertirse en una de las mayores redes de bots dirigidas a routers SOHO descubiertas en los últimos años.”Sospechamos que el actor de la amenaza se centró en el tipo de dispositivos SOHO que los usuarios serían menos propensos a parchear contra las vulnerabilidades y exposiciones comunes (CVEs)”, dijo Black Lotus Labs.
Una vez infectado, el malware envía la información del router comprometido a un servidor de mando y control (C2) integrado. Tras la toma de contacto, la máquina hackeada recibe instrucciones para establecer comunicación con un grupo independiente de servidores, conocidos como servidores C2 de segunda etapa.
Los investigadores de seguridad encontraron 15 de estos servidores de control de segunda etapa, que han estado operativos desde al menos octubre de 2021, basándose en la información de certificados x.509.
Esto cortó efectivamente la conexión entre la botnet maliciosa y su servidor de control central, impidiendo significativamente su capacidad para ejecutar actividades dañinas.
En una directiva operativa vinculante (BOD) publicada el mes pasado, la CISA ordenó a los organismos federales estadounidenses que protegieran los equipos de red expuestos a Internet (incluidos los routers SOHO) en un plazo de 14 días a partir de su descubrimiento para bloquear posibles intentos de intrusión.
El éxito en el compromiso de estos dispositivos permitiría a los actores de la amenaza añadir los routers hackeados a su infraestructura de ataque y proporcionarles una plataforma de lanzamiento para el movimiento lateral en sus redes internas, como advirtió CISA.
La gravedad de esta amenaza radica en el hecho de que los routers SOHO suelen encontrarse fuera de los límites del perímetro de seguridad convencional, lo que disminuye en gran medida la capacidad de los defensores para detectar actividades maliciosas.
Info – CIberseguridad Latam