Uma operação internacional autorizada pela justiça desmantelou o serviço proxy criminoso SocksEscort, que utilizava milhares de roteadores residenciais infectados para fraudes em larga escala. De acordo com o Departamento de Justiça dos EUA, o malware permitia que o SocksEscort redirecionasse o tráfego da internet através desses roteadores, vendendo esse acesso a seus clientes.
Desde 2020, o SocksEscort oferecia acesso a cerca de 369.000 endereços IP em 163 países, com 8.000 roteadores infectados até fevereiro de 2026, sendo 2.500 nos EUA. O serviço prometia IPs residenciais estáticos com largura de banda ilimitada, permitindo burlar listas de bloqueio de spam. Pacotes de proxies eram vendidos por valores que variavam de US$ 15 a US$ 200 mensais.
Entre as vítimas, destacam-se um cliente de uma exchange de criptomoedas em Nova York, que perdeu US$ 1 milhão, uma empresa de manufatura na Pensilvânia, com prejuízo de US$ 700.000, e militares dos EUA, que perderam US$ 100.000. A Europol, em conjunto com autoridades de diversos países, anunciou a operação “Lightning”, que resultou na remoção de 34 domínios e 23 servidores em sete países, além do congelamento de US$ 3,5 milhões em criptomoedas.
O SocksEscort era alimentado por um malware chamado AVrecon, documentado pela Lumen Black Lotus Labs em 2023, mas ativo desde 2021. Este malware transformava dispositivos infectados em proxies residenciais e podia estabelecer conexões remotas com servidores controlados por atacantes. Os alvos incluíam cerca de 1.200 modelos de dispositivos de marcas como Cisco, D-Link e TP-Link.
O FBI alertou que o malware AVrecon, escrito em linguagem C, visava principalmente roteadores de pequenos escritórios e residências, explorando vulnerabilidades críticas. Para garantir persistência, os invasores utilizavam o mecanismo de atualização do dispositivo para instalar um firmware modificado que desativava atualizações futuras, mantendo o dispositivo permanentemente infectado.
Fonte:https://thehackernews.com/2026/03/authorities-disrupt-socksescort-proxy.html
