Зафіксовано масове поширення шкідливого програмного забезпечення AVrecon, яке вражає вразливості старих моделей маршрутизаторів. Після зламу роутерів хакери встановлюють вірус та продають доступ до заражених пристроїв через проксі-сервіс SocksEscort. Наразі відомо про понад 369 тисяч випадків успішного компрометування обладнання. Про це пише видання SlashGear.
Заражені пристрої використовуються зловмисниками для широкого спектра незаконних дій. Резидентні проксі-мережі дозволяють приховувати реальні IP-адреси злочинців для шахрайства з рекламою, спроб експлуатації вразливостей вебсайтів, масового підбору паролів, банківських та фінансових махінацій, а також шахрайства на цифрових маркетплейсах.
Масове зараження старих роутерів: перелік вразливих моделей та способи захисту
Які роутери перебувають у зоні ризику
Головною причиною вразливості є відсутність регулярних оновлень безпеки на старих пристроях, чим активно користуються хакери. До переліку найбільш вразливих моделей увійшли:
- D-Link: DIR-818LW, 850L, 860L
- Netgear: DGN2200v4, AC1900 R700
- TP-Link: Archer C20, TL-WR840N, TL-WR849N, WR841N
- Zyxel: EMG6726-B10A, VMG1312-B10D, VMG1312-T20B, VMG3925-B10A, VMG3925-B10C, VMG4825-B10A, VMG4927-B50A, VMG8825-T50K
Способи виявлення та захисту
Ідентифікувати зараження вірусом AVrecon досить складно. Користувачам застарілих маршрутизаторів, які більше не отримують патчів безпеки, настійно рекомендується замінити обладнання на сучасні моделі. Власникам актуальних пристроїв необхідно стежити за оновленням системи та прошивки (що іноді вимагає ручного встановлення), а також активувати суворі налаштування приватності та безпеки. Видалити вірус із вже інфікованого роутера вкрай важко.
За підозри на злам слід використовувати інструменти моніторингу мережі для аналізу трафіку на предмет аномальної активності. Звичайне перезавантаження роутера може тимчасово порушити роботу вірусу, але не захистить від майбутніх атак. Більш дієвим методом є скидання пристрою до заводських налаштувань із подальшим встановленням найновішої прошивки. Проте варто враховувати, що деякі модифікації AVrecon здатні блокувати функцію скидання, і сама по собі ця дія не усуває апаратних вразливостей, які хакери можуть використати знову.
Інформує prostomob.com