Uma operação internacional de aplicação da lei, autorizada por um tribunal, desmantelou o serviço criminoso de proxy conhecido como SocksEscort. Este serviço utilizava milhares de roteadores residenciais infectados para realizar fraudes em larga escala. Segundo o Departamento de Justiça dos EUA, o SocksEscort infectava roteadores de internet domésticos e de pequenas empresas com malware, permitindo que o tráfego da internet fosse direcionado através desses dispositivos comprometidos. O acesso a esses roteadores era vendido para clientes do serviço.
Desde o verão de 2020, o SocksEscort ofereceu acesso a aproximadamente 369.000 endereços IP em 163 países. Em fevereiro de 2026, cerca de 8.000 roteadores estavam infectados, incluindo 2.500 nos Estados Unidos. O serviço prometia IPs residenciais estáticos com largura de banda ilimitada e a capacidade de contornar listas de bloqueio de spam. O custo variava de US$ 15 por mês para um conjunto de 30 proxies a US$ 200 para 5.000 proxies.
A Europol anunciou que a operação, chamada de Operação Lightning, envolveu autoridades de países como Áustria, Bulgária, França, Alemanha, Hungria, Países Baixos, Romênia e EUA. A ação resultou na derrubada de 34 domínios e 23 servidores em sete países, além do congelamento de US$ 3,5 milhões em criptomoedas. Os dispositivos comprometidos eram usados para atividades criminosas diversas, incluindo ataques de ransomware e DDoS.
O SocksEscort era alimentado por um malware chamado AVrecon, que foi documentado pela Lumen Black Lotus Labs em julho de 2023, mas estava ativo desde maio de 2021. O malware infectou cerca de 280.000 IPs distintos desde o início de 2025, transformando dispositivos em proxies residenciais. Ele atacava modelos de dispositivos de fabricantes como Cisco, D-Link e TP-Link, explorando vulnerabilidades críticas como execução remota de código.
O FBI alertou que o malware AVrecon, escrito em linguagem C, visava principalmente roteadores de pequenos escritórios e residências, usando mecanismos de atualização dos dispositivos para garantir persistência. O firmware modificado desativava as atualizações, mantendo os dispositivos permanentemente infectados. A operação destacou a ameaça significativa que a botnet representava, sendo composta exclusivamente por dispositivos comprometidos.
Fonte:https://thehackernews.com/2026/03/authorities-disrupt-socksescort-proxy.html
