[ziesell]

Zitat:

Auch Privatanwender betroffen: Botnetz-Malware infiziert über 70.000 Router

Eine Botnetz-Malware ist mindestens zwei Jahre unentdeckt geblieben und hat in dieser Zeit über 70.000 Router infiziert.



Eine mindestens seit zwei Jahren aktive Botnetz-Malware namens Avrecon hat inzwischen weltweit mehr als 70.000 Linux-basierte Soho-Router (Small Office, Home Office) infiziert, die primär für den Einsatz in kleinen Büros oder für Remote Work bei Privatanwendern vorgesehen sind.

Wie Sicherheitsforscher von Black Lotus Labs herausfanden, blieb der Remote Access Trojaner (RAT) nach einem einzigen Hinweis im Mai 2021 bis vor Kurzem völlig unauffälig.

Ziel der Akteure hinter Avrecon sei offenbar der Aufbau eines verdeckten Netzwerks für die Ausführung eine Reihe krimineller Machenschaften, erklärten die Forscher. Dazu zählen beispielsweise das Ausspähen von Passwörtern, die Bereitstellung von Proxy-Diensten zur Verschleierung böswilliger Aktivitäten sowie digitaler Werbebetrug.

Avrecon bleibt oftmals unentdeckt

Das Botnetz stiehlt den Zielsystemen damit vor allem Bandbreite. Das allerdings in einem so geringen Ausmaß, dass dies anders als bei den häufiger anzutreffenden DDoS- oder Kryptomining-Aktivitäten anderer Botnetze oftmals unbemerkt bleibt.

Rund 41.000 der mit der Malware infizierten Router, die sich weltweit auf mehr als 20 Länder verteilen, kommunizierten innerhalb eines Beobachtungszeitraumes von 28 Tagen an mindestens zwei Tagen mit einem von den Angreifern kontrollierten Command-and-Control-Server (C2). Insgesamt fanden die Forscher 15 unterschiedliche C2-Server, über die die kriminellen Akteure das Botnetz steuern. Einige davon sollen Hinweisen zufolge mindestens seit Oktober 2021 aktiv sein.

Den Angreifern sei es außerdem möglich, auf mit der Avrecon-Malware infizierten Routern eine Remote-Shell zu starten, hieß es weiter. Dadurch könnten sie beliebige Systembefehle ausführen und bei Bedarf weitere Schadsoftware installieren. Dennoch bleibe die böswillige Aktivität der infiltrierten Netzwerkgeräte üblicherweise unentdeckt. "Aufgrund des heimlichen Charakters der Malware bemerken die Besitzer der infizierten Geräte nur selten eine Unterbrechung der Dienste oder einen Bandbreitenverlust", erklärten die Forscher.

Ungepatchte Sicherheitslücken halten Router-Malware die Tür auf

Als möglichen Grund für den Fokus der Malware auf Soho-Router nennt Black Lotus Labs die geringere Wahrscheinlichkeit, dass sie mit aktuellen Patches gegen bekannte Sicherheitslücken versorgt werden. Gerade Privatanwender schenken der Systemsoftware ihrer Router selten Aufmerksamkeit, solange eine stabile Internetverbindung besteht.

Um sich vor einer Malware wie Avrecon zu schützen, empfehlen die Forscher Anwendern, ihre Router regelmäßig neu zu starten, aktuelle Sicherheitsupdates zu installieren und den Zugriff auf die Geräte durch ein starkes Passwort zu schützen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]