Plus de détails sont apparus sur un botnet appelé AVReconqui a été observé en train d’utiliser des routeurs de petits bureaux/bureaux à domicile (SOHO) compromis dans le cadre d’une campagne pluriannuelle active depuis au moins mai 2021.
AVRecon a été révélé pour la première fois par Lumen Black Lotus Labs plus tôt ce mois-ci comme un logiciel malveillant capable d’exécuter des commandes supplémentaires et de voler la bande passante de la victime pour ce qui semble être un service proxy illégal mis à la disposition d’autres acteurs. Il a également dépassé QakBot en termes d’échelle, ayant infiltré plus de 41 000 nœuds situés dans 20 pays à travers le monde.
« Le logiciel malveillant a été utilisé pour créer des services de proxy résidentiels afin de masquer les activités malveillantes telles que la pulvérisation de mots de passe, le proxy de trafic Web et la fraude publicitaire », ont déclaré les chercheurs dans le rapport.
Cela a été corroboré par de nouvelles découvertes de KrebsOnSecurity et Spur.us, qui ont révélé la semaine dernière que « AVrecon est le moteur de logiciels malveillants derrière un service vieux de 12 ans appelé SocksEscort, qui loue des appareils résidentiels et de petites entreprises piratés aux cybercriminels cherchant à cacher leur véritable emplacement en ligne. »
La base de la connexion découle de corrélations directes entre les serveurs de commande et de contrôle (C2) de SocksEscort et d’AVRecon. SocksEscort partagerait également des chevauchements avec une société moldave nommée Server Management LLC qui propose une solution VPN mobile sur l’Apple Store appelée HideIPVPN.
Black Lotus Labs a déclaré à The Hacker News que la nouvelle infrastructure identifiée en relation avec le malware présentait les mêmes caractéristiques que les anciens AVrecon C2.
« Nous estimons que les acteurs de la menace réagissaient à notre publication et au routage nul de l’infrastructure, et essayaient de garder le contrôle sur le botnet », a déclaré la société. « Cela suggère que les acteurs souhaitent monétiser davantage le botnet en conservant un certain accès et en continuant à inscrire des utilisateurs dans le » proxy en tant que service « SockEscort ».
Les routeurs et autres appareils périphériques sont devenus des vecteurs d’attaque lucratifs ces dernières années en raison du fait que ces appareils sont rarement corrigés contre les problèmes de sécurité, peuvent ne pas prendre en charge les solutions de détection et de réponse aux points finaux (EDR) et sont conçus pour gérer des bandes passantes plus élevées.
AVRecon représente également une menace accrue pour sa capacité à générer un shell sur une machine compromise, permettant potentiellement aux acteurs de la menace d’obscurcir leur propre trafic malveillant ou de récupérer d’autres logiciels malveillants pour la post-exploitation.
« Alors que ces bots sont principalement ajoutés au service proxy SocksEscort, il y avait une fonctionnalité intégrée dans le fichier pour générer un shell distant », ont déclaré les chercheurs.
« Cela pourrait permettre à l’acteur de la menace de déployer des modules supplémentaires, nous suggérons donc que les fournisseurs de sécurité gérés tentent d’enquêter sur ces appareils dans leurs réseaux, tandis que les utilisateurs à domicile devraient éteindre et rallumer leurs appareils. »
