Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Un malware para Linux infecta 70.000 routers
Obanla Opeyemi
31 de julio de 2023 - Equipo de expertos TuxCare
Un malware sigiloso para Linux llamado AVrecon ha sido utilizado para infectar más de 70.000 routers para pequeñas oficinas/oficinas domésticas (SOHO) basados en Linux, según un informe del equipo de investigación de amenazas Black Lotus Labs de Lumen.
El malware, que se detectó por primera vez en mayo de 2021, está diseñado para robar ancho de banda y proporcionar un servicio proxy residencial oculto. Esto permite a sus operadores ocultar un amplio espectro de actividades maliciosas, desde el fraude publicitario digital hasta el espionaje de contraseñas.
El malware ha logrado eludir la detección desde que se detectó por primera vez. Esto se debe a que se dirige a routers SOHO que a menudo no están parcheados contra vulnerabilidades comunes. Además, el malware es muy sigiloso, y los propietarios de las máquinas infectadas rara vez notan alguna interrupción del servicio o pérdida de ancho de banda.
Una vez infectado, el malware envía la información del router comprometido a un servidor de mando y control (C2) integrado. Tras establecer contacto, se ordena a la máquina hackeada que establezca comunicación con un grupo independiente de servidores, conocidos como servidores C2 de segunda fase.
Los investigadores de seguridad encontraron 15 de estos servidores de control de segunda etapa, que han estado operativos desde al menos octubre de 2021.
El equipo de seguridad Black Lotus de Lumen también abordó la amenaza AVrecon anulando el enrutamiento del servidor de mando y control (C2) de la botnet a través de su red troncal. De este modo, se cortó la conexión entre la red de bots maliciosa y su servidor de control central, lo que redujo significativamente su capacidad para ejecutar actividades dañinas.
La gravedad de esta amenaza se deriva del hecho de que los routers SOHO suelen residir más allá de los confines del perímetro de seguridad convencional, lo que disminuye en gran medida la capacidad de los defensores para detectar actividades maliciosas.
El grupo de ciberespionaje chino Volt Typhoon utilizó una táctica similar para construir una red proxy encubierta a partir de equipos de red ASUS, Cisco, D-Link, Netgear, FatPipe y Zyxel SOHO pirateados para ocultar su actividad maliciosa dentro del tráfico de red legítimo.
"Michelle Lee, directora de inteligencia de amenazas de Lumen Black Lotus Labs, afirma: "Los actores de amenazas están utilizando AVrecon para dirigir el tráfico y llevar a cabo actividades maliciosas como el rociado de contraseñas. "Esto es diferente del ataque directo a la red que vimos con nuestros otros descubrimientos de malware basado en routers".
"Los defensores deben ser conscientes de que dicha actividad maliciosa puede originarse a partir de lo que parece ser una dirección IP residencial en un país distinto al de origen real, y el tráfico procedente de direcciones IP comprometidas eludirá las reglas del cortafuegos como el geofencing y el bloqueo basado en ASN."
Las fuentes de este artículo incluyen un artículo en BleepingComputer.
