En los últimos años, el mundo de la ciberseguridad ha sido testigo del surgimiento de diversas amenazas informáticas que buscan explotar las vulnerabilidades presentes en los sistemas y dispositivos conectados a la red. Una de las últimas incorporaciones a esta lista es el malware AVrecon, una sofisticada pieza de software malicioso que ha causado estragos en la seguridad de los enrutadores de oficinas pequeñas y domésticas (SOHO) basados en Linux.
Desde mayo de 2021, el malware AVrecon ha infectado más de 70,000 enrutadores SOHO basados en Linux, estableciendo así una red de bots diseñada para robar ancho de banda y proporcionar un servicio de proxy residencial oculto. Esto ha permitido a los operadores del malware ocultar una amplia gama de actividades maliciosas, desde el fraude publicitario digital hasta la difusión de contraseñas.
Malware AVrecon: Un Peligroso Amenaza que se Oculta en los Enrutadores SOHO
El equipo de investigación de amenazas de Black Lotus Labs de Lumen ha sido fundamental en el descubrimiento y análisis de esta amenaza. Según sus hallazgos, el troyano de acceso remoto AVrecon ha logrado evadir en gran medida la detección desde su detección inicial en mayo de 2021.
A pesar de dirigirse a los enrutadores Netgear en un principio, el malware ha pasado desapercibido durante más de dos años, infectando lentamente nuevos dispositivos y convirtiéndose en una de las redes de bots más grandes dirigidas a enrutadores SOHO descubiertas recientemente.
Se cree que los actores de amenazas detrás del malware se han enfocado en dispositivos SOHO debido a la menor probabilidad de que los usuarios apliquen parches contra vulnerabilidades y exposiciones comunes (CVE).
Esta estrategia les ha permitido operar de manera encubierta durante un período prolongado, sin ser detectados. Además, la naturaleza sigilosa del malware ha evitado que los propietarios de los dispositivos infectados noten interrupciones en sus servicios de ancho de banda.
Una vez que un enrutador es infectado, el malware AVrecon envía la información del dispositivo comprometido a un servidor de comando y control (C2) integrado. Posteriormente, la máquina comprometida establece comunicación con un grupo independiente de servidores conocidos como servidores C2 de segunda etapa.
Se han identificado al menos 15 de estos servidores, que han estado operativos desde octubre de 2021, según la información del certificado x.509.
Para contrarrestar esta amenaza, el equipo de seguridad de Black Lotus Labs ha implementado una estrategia de enrutamiento nulo del servidor de comando y control (C2) de la botnet a través de su red troncal.
Esta medida ha interrumpido efectivamente la conexión entre la botnet maliciosa y su servidor de control central, lo que ha limitado significativamente su capacidad para llevar a cabo actividades dañinas.
Sin embargo, a pesar de los esfuerzos realizados por los expertos en ciberseguridad, la amenaza de AVrecon continúa siendo preocupante. En una directiva operativa vinculante (BOD) emitida por la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) de los Estados Unidos el mes pasado, se ordenó a las agencias federales proteger los enrutadores SOHO y otros equipos de red expuestos a Internet dentro de los 14 días posteriores al descubrimiento, a fin de evitar posibles violaciones.
La gravedad de esta amenaza radica en el hecho de que los enrutadores SOHO se encuentran más allá de los límites del perímetro de seguridad convencional, lo que dificulta la detección de actividades maliciosas por parte de los defensores.
Además, este tipo de dispositivos comprometidos pueden ser utilizados como plataformas de lanzamiento para el movimiento lateral en redes internas, lo que agrava aún más los riesgos asociados con la presencia del malware AVrecon.
No es la primera vez que se utiliza una táctica similar para ocultar actividades maliciosas en el tráfico de red legítimo. En mayo, un informe conjunto de las agencias de seguridad cibernética de los Five Eyes, que incluyen al FBI, la NSA y la CISA, reveló que el grupo de ciberespionaje chino Volt Typhoon utilizó enrutadores SOHO pirateados de marcas reconocidas para construir una red proxy encubierta.
