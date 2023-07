Stando a quanto segnalato nelle scorse ore dai ricercatori di Black Lotus Labs di Lumen, esisteva una botnet composta da oltre 70.000 router SOHO (Small-Office/Home-Office) con indirizzi IP distinti che sono stati infettati da AVrecon.

AVrecon: malware Linux sui router SOHO

Andando più in dettaglio, la botnet è rimasta nascosta per quasi due anni ed è stata sfruttata per la messa a segno di varie attività illecite. Adesso è stata smantellata, interrompendo la comunicazione dei router con il server C2 (command and control).

Come anticipato, per infettare i router è stato sfruttato AVrecon, che è un RAT (Remote Access Trojan) per Linux scritto in linguaggio C, ma non è ancora chiaro come ciò sia potuto avvenire, visto e considerato che in genere una botnet viene adoperata per mettere a segno attacchi DDoS e per il cryptomining, mentre i criminali informatici invece usato i router per generare proxy residenziali nascosti.

In seguito all'infezione, il malware invia le informazioni al server C2, da cui riceve i comandi, dopodiché AVrecon installa una shell remota e scarica i file necessari per configurare un proxy.

Tra le attività rilevate vi sono la simulazione di clic su inserzioni di Facebook e Google, il furto di dati e l'impiego della tecnica password spraying per scovare le credenziali degli utenti.

Da tenere presente che circa 41.000 dei router infettati contattavano ancora con il server C2 sino a quando non è stata interrotta la comunicazione.

I ricercatori fanno altresì presente che la creazione di botnet costituire da router SOHO sono frequenti in quanto gli utenti non hanno l'abitudine di installare i firmware aggiornati per la risoluzione delle vulnerabilità.