Tausende Linux-Router wurden mit AVrecon-Malware infiziert, um ein Botnetz aufzubauen

Malware ist auch ziemlich gut darin, sich der Entdeckung zu entziehen

Sicherheitsforscher von Lumen Black Lotus Labs haben einen Linux-basierten Fernzugriffstrojaner entdeckt, der über einen Zeitraum von mehr als zwei Jahren praktisch unentdeckt Router für kleine Büros/Heimbüros (SOHO) infiziert.

Der im Mai 2021 kurz erwähnte Trojaner, der als AVrecon bezeichnet wird, wurde verwendet, um private Proxy-Dienste zu erstellen, die eine Vielzahl bösartiger Aktivitäten wie Passwort-Spraying, Web-Traffic-Proxying und Werbebetrug verbergen sollen.

Mit mehr als 70.000 verschiedenen IP-Adressen aus 20 Ländern, die über einen Zeitraum von 28 Tagen mit 15 eindeutigen C2 der zweiten Stufe kommunizieren, und 41.000 Knoten, die als dauerhaft infiziert eingestuft sind, könnte das Ausmaß dieser mehrjährigen Kampagne besorgniserregend groß sein.

Die Analyse der Malware bestätigt, dass sie in C geschrieben ist, für ihre Portabilität geschätzt wird und auf in ARM eingebettete Geräte abzielt.

>Das sind die besten Firewalls, die es gibt>Cisco-Router werden von maßgeschneiderter russischer Malware angegriffen>Wenn Sie einen Asus-Router haben, müssen Sie ihn jetzt patchen, sonst riskieren Sie, gehackt zu werden

AVrecon sucht zunächst nach anderen Instanzen von sich selbst auf dem Host-Rechner und bricht vorhandene Prozesse ab. Andernfalls wird es sich von der Maschine entfernen, wahrscheinlich um einer Entdeckung zu entgehen.

Letztendlich geht Lumen davon aus, dass die Malware darauf ausgelegt ist, die infizierten Computer dazu zu nutzen, auf verschiedene Facebook- und Google-Anzeigen zu klicken und mit Microsoft Outlook zu interagieren, was wahrscheinlich im Rahmen eines größeren Werbebetrugsversuchs erfolgt.

Die Zusammenfassung kommt zu dem Schluss, dass das Versprühen von Passwörtern und/oder die Datenexfiltration daher eine sekundäre Aktivität sein könnten.

Das Ziel scheint darin zu bestehen, böswillige Aktivitäten zu waschen, indem die Bandbreite des Opfers genutzt wird, um einen privaten Proxy-Dienst zu erstellen, der wahrscheinlich nicht die gleiche Aufmerksamkeit erregen wird wie kommerziell verfügbare VPN-Dienste.

Da die Auswirkungen für Endbenutzer im Gegensatz zum ressourcenintensiven Krypto-Mining gering sind, sagt Black Lotus Labs: „Es ist unwahrscheinlich, dass es so viele Missbrauchsbeschwerden gibt, wie es bei internetweitem Brute-Forcing und DDoS-basierten Botnetzen normalerweise der Fall ist.“

Eine gute Internethygiene ist für die Prävention von größter Bedeutung. Dazu gehört in diesem Fall das regelmäßige Neustarten von Routern und das Anwenden von Firmware-Updates.

Melden Sie sich für den TechRadar Pro-Newsletter an, um alle wichtigen Neuigkeiten, Meinungen, Funktionen und Anleitungen zu erhalten, die Ihr Unternehmen für den Erfolg benötigt!

Craig verfügt über mehrere Jahre freiberuflicher Erfahrung in Technologie- und Automobilkreisen und sein besonderes Interesse gilt der Technologie, die unser Leben verbessern soll, einschließlich KI und ML, Produktivitätshilfen und intelligenter Fitness. Außerdem interessiert er sich leidenschaftlich für Autos und die Dekarbonisierung des Individualverkehrs. Als begeisterter Schnäppchenjäger können Sie sicher sein, dass jedes Angebot, das Craig findet, ein erstklassiges Preis-Leistungs-Verhältnis bietet!

Microsoft hindert einige seiner größten Kunden immer noch daran, Windows-Apps auszuführen

Squarespace Courses möchte Ihnen dabei helfen, Ihr Fachwissen mit der Welt zu teilen

Samsungs ViewFinity S9 könnte der Monitor sein, nach dem Kreative gesucht haben

Von Darren Allan 28. August 2023

Von Craig Hale, 28. August 2023

Von Keumars Afifi-Sabet 28. August 2023

Von Sead Fadilpašić, 28. August 2023

Von Darren Allan 28. August 2023

Von Craig Hale, 28. August 2023

Von David Nield, 28. August 2023

Von David Nield, 28. August 2023

Von Sead Fadilpašić, 28. August 2023

Von James Rogerson, 28. August 2023

Von Keumars Afifi-Sabet 28. August 2023