Malware AVrecon – über 70.000 Router bereits infiziert

Seit mindestens Mai 2021 wird eine versteckte Linux-Malware namens AVrecon verwendet, um Linux-basierte SoHo-Router zu infizieren und in ein Botnetz zu integrieren, wie erst jetzt bekannt wurde. Das Botnetz besteht aus rund 40.000 Knoten in 20 Ländern und ermöglicht den Betreibern verschiedene kriminelle Aktivitäten wie digitalen Werbebetrug oder Passwort-Spam.

Was Sie über AVrecon und angeratene Sicherheitsmaßnahmen wissen sollten, erfahren Sie in diesem Blogbeitrag.

Was sind SoHo-Router?

Bevor wir uns der Malware selbst zuwenden, möchten wir zunächst die Frage klären, was ein SoHo-Router ist. SoHo-Router (Small Office, Home Office) sind, wie der Name schon sagt, speziell für kleine Büros und Heimbüros konzipiert. Sie sind für den Einsatz in Kleinstunternehmen, bei Selbstständigen und Freiberuflern konzipiert. Diese Router bieten die Möglichkeit, verschiedene Anschlussarten wie ISDN oder DSL anzuschließen. Sie werden hauptsächlich für IP-Routing eingesetzt und über eine Ethernet-Verbindung angeschlossen.

AVrecon – wie die Malware vorgeht

Bei AVrecon handelt es sich um eine in C geschriebene Malware, die auf Linux-basierte Arm-Geräte abzielt, insbesondere auf Small Office/Home Office (SOHO)-Router. Diese Art von Geräten bietet in der Regel keine “Standard”-Endpunkt-Sicherheitslösungen, was es der Malware ermöglicht, bekannte Schwachstellen über einen längeren Zeitraum auszunutzen. SOHO-Geräte werden seltener mit Patches für bekannte CVE-Schwachstellen versorgt, was es Angreifern ermöglicht, die Kontrolle zu behalten und das bösartige Netzwerk kontinuierlich zu erweitern.

Die Hintermänner von AVrecon haben einen unauffälligen Ansatz gewählt und es geschafft, über zwei Jahre lang unentdeckt zu bleiben. Ihre Malware, die technisch als Remote Access Trojaner (RAT) eingestuft wird, wurde hauptsächlich für betrügerische Kampagnen entwickelt, bei denen infizierte Systeme zum Anklicken von Facebook- und Google-Werbung genutzt werden.

Sobald ein Router infiziert ist, sendet AVrecon Informationen über das kompromittierte Gerät an einen eingebetteten Command & Control (C2)-Server der ersten Ebene. Anschließend wird der Router angewiesen, eine Verbindung zu einer Gruppe von C2-Servern der zweiten Stufe herzustellen. Es wurden mehrere solcher Server identifiziert, die seit mindestens Oktober 2021 aktiv sind. Die Kommunikation zwischen den kompromittierten Routern und den C2-Servern erfolgt über eine verschlüsselte Verbindung mit einem x.509-Zertifikat. Es ist daher nicht möglich festzustellen, wie erfolgreich die Angreifer mit ihren “Password Spraying”-Versuchen waren.

Wie kann man sich vor der Malware AVrecon schützen?

Um Router vor der AVrecon-Malware zu schützen, empfehlen Sicherheitsexperten verschiedene Maßnahmen. Eine wichtige Empfehlung besteht darin, eine Verschlüsselung einzusetzen, um die Sicherheit des Routers zu erhöhen.

Darüber hinaus ist es ratsam, den Router regelmäßig neu zu starten. Durch einen Neustart werden potenzielle Infektionen oder unerwünschte Aktivitäten des Routers gestoppt und ein frischer Zustand hergestellt. Dies kann dazu beitragen, bestehende Malware-Infektionen zu entfernen und die Integrität des Routers wiederherzustellen.

Ein weiterer wichtiger Aspekt ist die regelmäßige Installation von Sicherheitspatches. Routerhersteller veröffentlichen regelmäßig Updates, um bekannte Sicherheitslücken zu schließen und die Stabilität des Systems zu verbessern. Durch die Installation dieser Updates bleiben Router geschützt und sind weniger anfällig für Angriffe.

Die Bedeutung einer aktuellen Antivirensoftware für den Schutz vor Malware kann nicht genug betont werden. Malware, wie Viren, Trojaner und andere schädliche Programme, stellen eine ständige Bedrohung dar und können erheblichen Schaden anrichten, wenn sie nicht rechtzeitig erkannt und neutralisiert werden. Antivirenprogramme überwachen kontinuierlich das System auf verdächtige Aktivitäten und scannen Dateien, E-Mails und andere potenzielle Infektionsquellen auf schädlichen Code.

Es ist wichtig zu beachten, dass Malware kontinuierlich weiterentwickelt wird und neue Varianten auf den Markt kommen. Ohne eine aktualisierte Antivirensoftware besteht die Gefahr, dass neue Bedrohungen unentdeckt bleiben und das System gefährden.

Wenn Sie eine aktuelle Antivirensoftware online kaufen möchten, sind Sie bei Softwarekaufen24 genau richtig. Unter anderem ESET Internet Security 2023 und Norton Security 3.0 erfreuen sich einer großen Beliebtheit und verfügen über ein riesiges Arsenal an Sicherheitsfunktionen.