Botnet-e1571096477448.jpg

Botnet transforma roteadores Asus em proxies maliciosos

Pesquisadores da empresa de segurança Lumen descobriram uma botnet resistente a remoção que infectou mais de 14 mil roteadores, principalmente da marca Asus, transformando-os em proxies pagos para criminosos. Batizada de KadNap, a rede oferece os dispositivos comprometidos como um serviço de proxy chamado Doppelganger, permitindo que atacantes ocultem seus endereços IP reais e obtenham endereços na mesma região dos alvos mediante pagamento.

Infecção por vulnerabilidades conhecidas e persistência avançada

De acordo com Chris Formosa, pesquisador da Lumen, a infecção ocorre pela exploração de vulnerabilidades conhecidas que não foram corrigidas pelos proprietários. O malware armazena um script shell que é executado automaticamente sempre que o roteador reinicia, garantindo que o dispositivo seja reinfectado após uma simples reinicialização. Formosa afirma ser improvável que os atacantes estejam usando falhas do tipo zero-day nesta operação.

Concentração nos Estados Unidos e arquitetura peer-to-peer

A maioria das infecções foi observada nos Estados Unidos, mas também foi observada em países menores como Taiwan, Hong Kong e Rússia. O KadNap se destaca por utilizar uma arquitetura peer-to-peer baseada no protocolo Kademlia, que oculta os endereços IP dos servidores de comando e controle por meio de tabelas hash distribuídas, tornando a botnet resistente a derrubadas e detecção por métodos tradicionais.

Procedimento de limpeza e prevenção

A remoção definitiva do malware exige um reset de fábrica, que apaga o script persistente armazenado no dispositivo. Após a limpeza, os proprietários devem instalar todas as atualizações de firmware disponíveis, utilizar senhas fortes para administração e desabilitar o acesso remoto, a menos que seja estritamente necessário. A Lumen disponibilizou indicadores de comprometimento (IoCs) para que os usuários verifiquem se seus roteadores estão infectados.