CEVIU Logo
Voltar

Autoridades Desmantelam Botnet Proxy SocksEscort que Explorava 369.000 IPs em 163 Países

Aprofundamento CEVIU

Aprofundamento

A SocksEscort não era só mais uma botnet de proxy: era uma fábrica de anonimato operando em escala industrial, com infraestrutura projetada para resistir a investigações. O malware AVRecon, usado para comprometer os roteadores, explorava falhas críticas em modelos EOL, como os D-Link DIR 818LW e DIR 860L, cujo suporte havia sido encerrado anos antes, mas que continuavam ativos em milhões de lares e pequenos escritórios. Ao instalar firmware personalizado que desabilitava atualizações permanentemente, os criminosos garantiam que os dispositivos permanecessem sob controle por meses ou anos, mesmo após a divulgação pública das vulnerabilidades.

Os servidores apreendidos revelaram um ecossistema completo: painel de administração com métricas em tempo real de IPs ativos, sistema de faturamento em criptoativos com conversão automática para euros e dólares, e integração com marketplaces clandestinos de credenciais roubadas. A rede foi usada diretamente em ataques contra sistemas financeiros norte-americanos, incluindo fraudes em cartões MILITARY STAR e golpes em plataformas de seguro-desemprego, alvos escolhidos por sua baixa maturidade em detecção de tráfego residencial anômalo.

Por que isso importa

Essa operação expõe um ponto fraco estrutural da cibersegurança global: a falta de ciclo de vida gerenciado para equipamentos de rede doméstica. Mais de 50% dos roteadores infectados estavam nos EUA e no Reino Unido, mas nenhum desses países tem exigências legais para notificação de comprometimento ou recall obrigatório de dispositivos EOL. Enquanto isso, provedores de internet seguem sem responsabilidade legal por manter o firmware de equipamentos fornecidos aos clientes. O resultado é uma camada invisível de infraestrutura comprometida, 369 mil IPs, que serve como base operacional para ransomware, CSAM e fraude bancária, sem que o dono do roteador sequer saiba que seu dispositivo está sendo usado como arma.

Perguntas frequentes

Meu roteador pode ter sido infectado pela SocksEscort?

Sim, especialmente se for um modelo D-Link DIR 818LW, DIR 850L ou DIR 860L, ou outro dispositivo listado como EOL pela fabricante. Verifique se há processos suspeitos (como 'avrecon' ou 'socksproxy') rodando no sistema, reinicie o aparelho e atualize o firmware, se ainda houver suporte. Caso contrário, substitua-o imediatamente.

Por que os roteadores são tão visados por criminosos?

Eles têm pouca proteção nativa, raramente recebem atualizações, ficam ligados 24/7 e oferecem IPs residenciais estáticos, ideais para burlar bloqueios de geolocalização e detecção de bots. Um único roteador infectado pode ser revendido como 'IP limpo' por até US$ 0,50 por dia no mercado negro.

O que as autoridades farão com os 369 mil dispositivos comprometidos?

Não há mecanismo automático de limpeza remota. As autoridades planejam notificar governos afetados com listas de IPs e modelos, mas cabe a cada país decidir se alerta os usuários. Nos EUA, o FBI já iniciou esforços de outreach com ISPs; na UE, a Europol orienta que os provedores façam varreduras proativas em redes domésticas.

A SocksEscort voltará com outro nome?

É provável. A arquitetura AVRecon já foi observada em variantes independentes desde 2025. Sem regulamentação que obrigue fabricantes a manter atualizações mínimas por 5 anos ou a implementar mecanismos de recuperação segura, novas versões dessa botnet surgirão em meses, com nomes diferentes, mas mesma lógica técnica.

Fontes

Avalie este artigo:
Compartilhar:
Categoria
CEVIU Segurança da Informação
Publicado
16 de março de 2026
Editoria
CEVIU Segurança da Informação

Quer receber mais sobre CEVIU Segurança da Informação?

Conteúdo curado diariamente, direto no seu e-mail.

Conteúdo curado diariamenteDiversas categoriasCancele quando quiser