SocksEscort: smantellato proxy con malware Linux
Topic
Approfondimenti
Trending
tutti

SocksEscort: smantellato proxy con malware Linux

SocksEscort era un servizio di proxy residenziale che prevedeva la vendita degli indirizzi IP dei router usati dai cybercriminali per attività illecite.
SocksEscort: smantellato proxy con malware Linux
Sicurezza
SocksEscort era un servizio di proxy residenziale che prevedeva la vendita degli indirizzi IP dei router usati dai cybercriminali per attività illecite.
Google AI Studio

Europol e autorità di otto paesi, tra cui il Dipartimento di Giustizia degli Stati Uniti, hanno smantellato SocksEscort, un servizio proxy che sfruttava migliaia di router nel mondo infettati dal malware AVRecon per Linux. L’assistenza tecnica durante l’operazione è stata fornita dai Black Lotus Labs (Lumen) e Shadowserver Foundation.

Dettagli su SocksEscort

Al termine della cosiddetta Operation Lightning, le forze dell’ordine di Austria, Bulgaria, Francia, Germania, Ungheria, Olanda, Romania e Stati Uniti hanno chiuso 34 domini e sequestrato 23 server posizionati in sette paesi. Le autorità statunitensi hanno inoltre congelato 3,5 milioni di dollari in criptovalute.

SocksEscort era un servizio di proxy residenziale che i cybercriminali utilizzavano per commettere frodi su larga scala. I proxy residenziali permettono di nascondere la provenienza del traffico perché gli indirizzi IP sono quelli dei router degli utenti privati. In questo caso sono stati infettati circa 8.000 router con il malware AVRecon per Linux. I gestori del servizio hanno venduto oltre 369.000 indirizzi IP in 163 paesi. Tutti i dispositivi sono stati disconnessi dalla rete proxy.

SocksEscort è stato sfruttato per varie attività criminali, tra cui attacchi DDoS, furto di criptovalute, accesso agli account bancari, attacchi ransomware e distribuzione di materiale pedopornografico. Una delle vittime che risiede a New York ha perso un milione di dollari in criptovalute. L’acquisto degli indirizzi IP avveniva tramite un sito (ora oscurato) con pagamenti in criptovalute.

I ricercatori dei Black Lotus Labs di Lumen hanno scoperto AVRecon a luglio 2023. La botnet formata dai router infettati era stata smantellata, interrompendo la connessione remota, ma i cybercriminali hanno ripreso le attività nei mesi successivi.

Gli utenti dovrebbero monitorare il traffico di rete e installare i firmware più recenti che risolvono le vulnerabilità. I router non più supportati dai produttori dovrebbero essere sostituiti, soprattutto quelli usati in ambito aziendale.

Fonte: Europol

Pubblicato il 13 mar 2026

Link copiato negli appunti

Ti potrebbe interessare

Zombie ZIP, il trucco che rende i malware invisibili agli antivirus

Zombie ZIP, il trucco che rende i malware invisibili agli antivirus
Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando

Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando
Chat Control: proroga fino ad agosto 2027 con limitazioni

Chat Control: proroga fino ad agosto 2027 con limitazioni
Truffe telefoniche: così Truecaller vuol proteggere tutta la famiglia

Truffe telefoniche: così Truecaller vuol proteggere tutta la famiglia
Zombie ZIP, il trucco che rende i malware invisibili agli antivirus

Zombie ZIP, il trucco che rende i malware invisibili agli antivirus
Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando

Hai scaricato uno di questi giochi da Steam? L'FBI ti sta cercando
Chat Control: proroga fino ad agosto 2027 con limitazioni

Chat Control: proroga fino ad agosto 2027 con limitazioni
Truffe telefoniche: così Truecaller vuol proteggere tutta la famiglia

Truffe telefoniche: così Truecaller vuol proteggere tutta la famiglia
Luca Colantuoni
Pubblicato il
13 mar 2026
Link copiato negli appunti