I ricercatori dei Black Lotus Labs di Lumen hanno scoperto una botnet formata da oltre 70.000 router SOHO (Small-Office/Home-Office) che sono stati infettati da AVrecon. La botnet, rimasta nascosta da quasi due anni, veniva sfruttata per varie attività illecite. Fortunatamente è stata smantellata, interrompendo la comunicazione dei router con il server C2 (command and control).
AVrecon: RAT Linux per router
AVrecon un RAT (Remote Access Trojan) per Linux scritto in linguaggio C. Non è chiaro come sono stati infettati i router (quasi certamente sfruttando vulnerabilità che li rendono accessibili da Internet). Solitamente una botnet viene utilizzata per effettuare attacchi DDoS e per il cryptomining, ma queste attività può essere rilevate. I cybercriminali hanno invece usato i router per creare proxy residenziali nascosti.
Dopo aver infettato i dispositivi, il malware invia le informazioni al server C2, dal quale riceve i comandi. AVrecon installa quindi una shell remota e scarica i file necessari per configurare un proxy. Tra le attività rilevate dai ricercatori ci sono simulazione di click su inserzioni di Facebook e Google, il furto di dati e l’uso della tecnica password spraying per trovare le credenziali.
Gli esperti di Lumen hanno identificato oltre 70.000 router (indirizzi IP distinti), ma circa 41.000 di essi contattavano ancora con il server C2 (finché non è stata interrotta la comunicazione). La creazione di botnet formate da router SOHO sono sempre più frequenti perché gli utenti non installano i nuovi firmware che risolvere le vulnerabilità.