Malware AVrecon infecta roteadores de oito fabricantes

O FBI emitiu um alerta sobre a disseminação global do malware AVrecon, que já infectou roteadores Wi-Fi e câmeras IP de marcas como D-Link, Netgear, TP-Link, Zyxel, Cisco, Hikvision e MicroTik. A orientação do órgão, publicada na última sexta-feira, recomenda que proprietários criem um cronograma de atualizações para verificar e instalar patches manualmente.

Infecção em 163 países

De acordo com o documento do FBI, o malware foi encontrado em dispositivos de 163 países. Os atacantes exploram vulnerabilidades críticas em aproximadamente 1.200 modelos diferentes de equipamentos, incluindo aqueles que já estão em fim de vida útil (end-of-life) e não recebem mais atualizações, ou dispositivos cujos donos deixaram de instalar patches disponíveis.

Os roteadores infectados eram oferecidos através do serviço de proxy SocksEscort, que já foi retirado do ar pelas autoridades. Clientes desse serviço podiam direcionar seu tráfego através dos dispositivos comprometidos.

Dificuldade de remoção

Em alguns casos, os invasores instalaram firmware personalizado para manter o acesso persistente aos aparelhos. A firmware original foi modificada para desabilitar as funções de atualização e reinstalação do sistema, tornando a remoção do malware “muito difícil”, segundo o FBI.

Para determinados dispositivos, uma simples reinicialização pode eliminar o malware, desde que ele não tenha mecanismos de persistência. No entanto, há registros de re-infecção imediata através das mesmas vulnerabilidades exploradas anteriormente. Além de atuarem como proxies, os equipamentos comprometidos são usados para escanear a internet em busca de outros aparelhos vulneráveis.

Recomendações do FBI

O órgão aconselha proprietários de roteadores e outros dispositivos IoT a:

  • Criar um cronograma de patches e verificar periodicamente a disponibilidade de atualizações de firmware, instalando-as imediatamente.
  • Monitorar, isolar e restringir o acesso a roteadores SOHO e dispositivos IoT.
  • Substituir equipamentos que atingiram o fim da vida útil e não recebem mais suporte do fabricante.

A ausência de atualização automática na maioria desses dispositivos torna essencial a verificação manual regular.