AVrecon Botnet Malware

De maio de 2021 em diante, um malware Linux altamente secreto conhecido como AVrecon foi empregado para se infiltrar em mais de 70.000 roteadores de pequenos escritórios/escritórios domésticos (SOHO) operando em sistemas baseados em Linux. Esses roteadores comprometidos são então incorporados a uma botnet, servindo a um propósito duplo: roubar largura de banda e estabelecer um serviço de proxy residencial oculto. De acordo com especialistas em infosec, dos 70.000 dispositivos comprometidos pelo AVrecon, cerca de 40.000 foram incorporados a uma botnet.

Ao utilizar este botnet, os operadores do AVrecon podem efetivamente ocultar uma série de empreendimentos nocivos. Essas atividades abrangem um amplo espectro, variando de esquemas fraudulentos de publicidade digital a ataques de pulverização de senhas. A disponibilidade de um serviço de proxy residencial oculto fornece a eles um meio de anonimizar suas operações e explorar a infraestrutura de rede comprometida para realizar suas atividades nefastas sem serem detectadas.

O AVrecon Malware Opera Silenciosamente nos Dispositivos Violados

Desde sua detecção inicial em maio de 2021, o AVrecon demonstrou uma capacidade notável de evitar a detecção. Inicialmente, ele visava roteadores Netgear e conseguiu permanecer sem ser detectado por mais de dois anos, expandindo constantemente seu alcance ao atrair novos bots. Esse crescimento implacável o impulsionou a se tornar um dos maiores botnets voltados para roteadores de pequenos escritórios/escritórios domésticos (SOHO) nos últimos tempos.

Os agentes de ameaças por trás desse malware parecem ter se concentrado estrategicamente na exploração de dispositivos SOHO que os usuários tinham menos probabilidade de corrigir contra vulnerabilidades e exposições conhecidas (CVEs). Adotando uma abordagem mais cautelosa, os operadores conseguiram operar furtivamente por um longo período, evitando a detecção por mais de dois anos. A natureza sub-reptícia do malware significava que os proprietários de dispositivos infectados raramente experimentavam interrupções de serviço perceptíveis ou perda de largura de banda, permitindo ainda mais que o botnet persistisse sem ser detectado.

Depois que um roteador é infectado, o malware passa a transmitir as informações do dispositivo comprometido para um servidor de comando e controle (C2) incorporado. Posteriormente, a máquina hackeada recebe instruções para estabelecer comunicação com um conjunto separado de servidores conhecidos como servidores C2 de segundo estágio. Durante a investigação, os pesquisadores de segurança identificaram um total de 15 servidores de controle de segundo estágio. Esses servidores estão operacionais desde pelo menos outubro de 2021, conforme determinado pelas informações do certificado x.509.

A presença desses servidores C2 de segundo estágio destaca a infraestrutura sofisticada e a organização empregada pelos agentes de ameaças por trás do malware. Ele ressalta ainda mais os desafios enfrentados pelos especialistas em segurança cibernética no combate e mitigação do impacto dessa botnet persistente e elusiva.

Os Dispositivos SOHO Comprometidos podem Levar a Sérias Consequências

Em uma diretiva operacional obrigatória (BOD) recentemente emitida pela Agência de segurança cibernética e de infraestrutura (CISA), as agências federais dos EUA foram incumbidas de tomar medidas imediatas para proteger equipamentos de rede expostos à Internet, incluindo roteadores SOHO. Esta diretiva exige que as agências federais fortaleçam esses dispositivos dentro de 14 dias após a descoberta para evitar possíveis tentativas de violação.

A razão por trás dessa urgência é que um comprometimento bem-sucedido de tais dispositivos concederia aos agentes de ameaças a capacidade de incorporar os roteadores comprometidos em sua infraestrutura de ataque. Isso, por sua vez, serviria como uma plataforma de lançamento para o movimento lateral nas redes internas das entidades visadas, conforme enfatizado pela CISA em seu alerta.

A utilização do AVrecon por agentes de ameaças serve a um propósito duplo: tráfego de proxy e envolvimento em atividades nefastas, como pulverização de senha. Esse modus operandi distinto o diferencia de nossas descobertas anteriores de malware baseado em roteador, que se concentrava principalmente na segmentação direta da rede.

A gravidade dessa ameaça decorre do fato de que os roteadores SOHO normalmente operam fora do perímetro de segurança convencional. Consequentemente, a capacidade dos defensores de detectar atividades inseguras é significativamente diminuída. Essa situação destaca a importância crítica de proteger prontamente esses dispositivos para reduzir o risco de possíveis violações e aumentar a segurança geral da rede.