Malware de red de bots AVrecon

Desde mayo de 2021 en adelante, se empleó un malware de Linux altamente encubierto conocido como AVrecon para infiltrarse en más de 70 000 enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) que operan en sistemas basados en Linux. Estos enrutadores comprometidos luego se incorporan a una botnet, con un doble propósito: robar ancho de banda y establecer un servicio de proxy residencial oculto. Según los expertos en seguridad de la información, de los 70 000 dispositivos comprometidos por AVrecon, alrededor de 40 000 se incorporaron a una botnet.

Al utilizar esta red de bots, los operadores de AVrecon pueden ocultar de manera efectiva una variedad de actividades dañinas. Estas actividades abarcan un amplio espectro, que va desde esquemas publicitarios digitales fraudulentos hasta ataques de difusión de contraseñas. La disponibilidad de un servicio de proxy residencial oculto les brinda un medio para anonimizar sus operaciones y explotar la infraestructura de red comprometida para llevar a cabo sus actividades nefastas sin ser detectadas.

El malware AVrecon opera silenciosamente en los dispositivos violados

Desde su detección inicial en mayo de 2021, AVrecon ha demostrado una notable capacidad para evadir la detección. Inicialmente se centró en los enrutadores Netgear y logró permanecer sin ser detectado durante más de dos años, expandiendo constantemente su alcance al atrapar nuevos bots. Este crecimiento incesante lo ha impulsado a convertirse en una de las redes de bots más grandes dirigidas a enrutadores de oficinas pequeñas/oficinas domésticas (SOHO) en los últimos tiempos.

Los actores de amenazas detrás de este malware parecen haberse centrado estratégicamente en explotar dispositivos SOHO que los usuarios tenían menos probabilidades de parchear contra vulnerabilidades y exposiciones conocidas (CVE). Al adoptar un enfoque más cauteloso, los operadores pudieron operar sigilosamente durante un período prolongado, eludiendo la detección durante más de dos años. La naturaleza subrepticia del malware significaba que los propietarios de los dispositivos infectados rara vez experimentaban interrupciones notables del servicio o pérdida de ancho de banda, lo que permitía que la red de bots persistiera sin ser detectada.

Una vez que se infecta un enrutador, el malware procede a transmitir la información del dispositivo comprometido a un servidor integrado de comando y control (C2). Posteriormente, la máquina pirateada recibe instrucciones para establecer comunicación con un conjunto separado de servidores conocidos como servidores C2 de segunda etapa. Durante su investigación, los investigadores de seguridad identificaron un total de 15 servidores de control de segunda etapa. Estos servidores han estado operativos desde al menos octubre de 2021, según lo determinado por la información del certificado x.509.

La presencia de estos servidores C2 de segunda etapa destaca la infraestructura y la organización sofisticadas empleadas por los actores de amenazas detrás del malware. Además, subraya los desafíos que enfrentan los expertos en seguridad cibernética para combatir y mitigar el impacto de esta botnet persistente y esquiva.

Los dispositivos SOHO comprometidos podrían tener graves consecuencias

En una directiva operativa vinculante (BOD) emitida recientemente por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA), las agencias federales de EE. UU. recibieron el mandato de tomar medidas inmediatas para proteger los equipos de red expuestos a Internet, incluidos los enrutadores SOHO. Esta directiva requiere que las agencias federales fortalezcan estos dispositivos dentro de los 14 días posteriores al descubrimiento para evitar posibles intentos de violación.

La razón detrás de esta urgencia es que un compromiso exitoso de dichos dispositivos otorgaría a los actores de amenazas la capacidad de incorporar los enrutadores comprometidos en su infraestructura de ataque. Esto, a su vez, serviría como plataforma de lanzamiento para el movimiento lateral hacia las redes internas de las entidades objetivo, como lo enfatiza CISA en su advertencia.

La utilización de AVrecon por parte de los actores de amenazas tiene un doble propósito: enviar tráfico por proxy y participar en actividades nefastas como la difusión de contraseñas. Este modus operandi distintivo lo distingue de nuestros descubrimientos anteriores de malware basado en enrutadores, que se enfocaba principalmente en la orientación directa a la red.

La gravedad de esta amenaza surge del hecho de que los enrutadores SOHO suelen operar fuera del perímetro de seguridad convencional. En consecuencia, la capacidad de los defensores para detectar actividades inseguras se ve significativamente disminuida. Esta situación destaca la importancia crítica de proteger rápidamente estos dispositivos para mitigar el riesgo de posibles infracciones y mejorar la seguridad general de la red.