Des milliers de routeurs Linux infectés par le malware AVrecon pour créer un botnet

Les logiciels malveillants sont également plutôt efficaces pour échapper à la détection

Les chercheurs en sécurité de Lumen Black Lotus Labs ont découvert un cheval de Troie d'accès à distance basé sur Linux qui infecte les routeurs des petits bureaux/bureaux à domicile (SOHO) pratiquement inaperçus depuis plus de deux ans.

Brièvement référencé en mai 2021, le cheval de Troie appelé AVrecon a été utilisé pour créer des services proxy résidentiels conçus pour masquer diverses activités malveillantes telles que la pulvérisation de mots de passe, le proxy du trafic Web et la fraude publicitaire.

Avec plus de 70 000 adresses IP distinctes provenant de 20 pays communiquant avec 15 C2 uniques de deuxième étape sur une fenêtre de 28 jours, et 41 000 nœuds classés comme infectés de manière persistante, l’ampleur de cette campagne pluriannuelle pourrait être d’une ampleur inquiétante.

L'analyse du malware confirme qu'il est écrit en C, apprécié pour sa portabilité, et cible les appareils embarqués sur ARM.

>Ce sont les meilleurs pare-feu du marché>Les routeurs Cisco sont ciblés par des logiciels malveillants russes personnalisés>Si vous possédez un routeur Asus, vous devez le patcher maintenant ou risquer d'être piraté

AVrecon vérifie d'abord d'autres instances de lui-même sur la machine hôte et tue les processus existants. Dans le cas contraire, il se retirera de la machine, probablement dans le but d'échapper à la détection.

En fin de compte, Lumen estime que le malware est conçu pour utiliser les machines infectées pour cliquer sur diverses publicités Facebook et Google et pour interagir avec Microsoft Outlook, probablement dans le cadre d'un effort de fraude publicitaire plus large.

Le résumé conclut que la pulvérisation de mots de passe et/ou l’exfiltration de données peuvent donc constituer une activité secondaire.

L'objectif semble être le blanchiment d'activités malveillantes en utilisant la bande passante de la victime pour créer un service proxy résidentiel, ce qui est peu susceptible d'attirer le même niveau d'attention que les services VPN disponibles dans le commerce.

Parce qu'il y a peu d'impact pour les utilisateurs finaux, contrairement au crypto-mining qui consomme beaucoup de ressources, Black Lotus Labs déclare : « il est peu probable que cela justifie le volume de plaintes pour abus que le forçage brutal sur Internet et les botnets basés sur DDoS attirent généralement. »

Une bonne hygiène Internet est primordiale en matière de prévention, qui dans ce cas implique le redémarrage régulier des routeurs et l'application de mises à jour du micrologiciel.

Inscrivez-vous à la newsletter TechRadar Pro pour obtenir toutes les principales nouvelles, opinions, fonctionnalités et conseils dont votre entreprise a besoin pour réussir !

Fort de plusieurs années d'expérience en freelance dans les cercles de la technologie et de l'automobile, les intérêts spécifiques de Craig résident dans les technologies conçues pour améliorer nos vies, notamment l'IA et le ML, les aides à la productivité et le fitness intelligent. Il est également passionné par l'automobile et la décarbonation des transports personnels. En tant que chasseur de bonnes affaires passionné, vous pouvez être sûr que toute offre trouvée par Craig est d'un excellent rapport qualité-prix !

Microsoft empêche toujours certains de ses plus gros clients d'exécuter des applications Windows

Squarespace Courses veut vous aider à partager votre expertise avec le monde

Le ViewFinity S9 de Samsung est peut-être le moniteur que les créatifs recherchaient

Par Darren Allan28 août 2023

Par Craig Hale28 août 2023

Par Keumars Afifi-Sabet28 août 2023

Par Sead Fadilpašić 28 août 2023

Par Darren Allan28 août 2023

Par Craig Hale28 août 2023

Par David Nield28 août 2023

Par David Nield28 août 2023

Par Sead Fadilpašić 28 août 2023

Par James Rogerson28 août 2023

Par Keumars Afifi-Sabet28 août 2023