Un nuovo ceppo di malware, noto come AVrecon, è stato scoperto mentre mirava silenziosamente ai router per piccoli uffici e uffici domestici (SOHO) da oltre due anni. Ha infiltrato oltre 70.000 dispositivi e ha creato un botnet con 40.000 nodi in 20 paesi. Lumen Black Lotus Labs ha battezzato il malware AVrecon, rendendolo il terzo di questo tipo a concentrarsi sui router SOHO dopo ZuoRAT e HiatusRAT nell’ultimo anno.
L’obiettivo di AVrecon
Secondo Lumen, l’obiettivo della campagna sembra essere la creazione di una rete segreta per abilitare silenziosamente una serie di attività criminali, dallo spraying di password alla frode nella pubblicità digitale. La maggior parte delle infezioni si trova nel Regno Unito e negli Stati Uniti, seguiti da Argentina, Nigeria, Brasile, Italia, Bangladesh, Vietnam, India, Russia e Sud Africa, tra gli altri.
Come funziona AVrecon
Nella catena di attacco dettagliata da Lumen, un’infezione riuscita è seguita dall’enumerazione del router SOHO della vittima e dall’esfiltrazione di tali informazioni a un server di comando e controllo (C2) incorporato. AVrecon controlla anche se altre istanze di malware sono già in esecuzione sull’host cercando processi esistenti sulla porta 48102 e aprendo un ascoltatore su quella porta. Un processo legato a quella porta viene terminato.
L’infrastruttura C2 a più livelli
Il sistema compromesso stabilisce poi un contatto con un server separato, chiamato server C2 secondario, per attendere ulteriori comandi. Lumen ha identificato 15 di questi server unici attivi almeno dal 2021. È importante notare che un’infrastruttura C2 a più livelli è comune tra botnet noti come Emotet e QakBot.
L’uso di AVrecon
Le prove raccolte finora indicano che il botnet viene utilizzato per fare clic su vari annunci di Facebook e Google e per interagire con Microsoft Outlook. Questo indica probabilmente uno sforzo a due punte per condurre frodi pubblicitarie ed esfiltrazione di dati.