Pesquisadores de segurança descobriram pelo menos três campanhas maciças de malware explorando centenas de milhares de roteadores MikroTik sem patches para instalar secretamente mineiros de criptomoedas em computadores conectados a eles.
Ao todo, as campanhas de malware comprometeram mais de 210.000 roteadores da Mikrotik, fornecedora de hardware de rede da Letônia, em todo o mundo, com o número ainda aumentando até o momento.
Os hackers vêm explorando uma vulnerabilidade conhecida no componente Winbox dos roteadores MikroTik, que foi descoberta em abril deste ano e corrigida em um dia de sua descoberta, que mais uma vez mostra o descuido das pessoas em aplicar os patches de segurança a tempo.
A falha de segurança pode potencialmente permitir que um invasor obtenha acesso administrativo remoto não autenticado a qualquer roteador MikroTik vulnerável.
A primeira campanha, notada pelos pesquisadores da Trustwave, começou com o direcionamento de dispositivos de rede no Brasil, onde um hacker ou um grupo de hackers comprometia mais de 183.700 roteadores MikroTik.
Como outros hackers também começaram a explorar a vulnerabilidade do roteador MikroTik, a campanha está se espalhando em escala global.
Troy Mursch, outro pesquisador de segurança, identificou duas campanhas semelhantes de malware que infectaram 25.500 e 16.000 roteadores MikroTik, principalmente na Moldávia, com código de mineração de criptomoeda malicioso do infame serviço CoinHive.
Os invasores estão injetando o Javascript do Coinhive em todas as páginas da web que um usuário visita usando um roteador vulnerável, forçando, eventualmente, cada computador conectado a ignorar inadvertidamente a criptomoeda do Monero para os criminosos.
“O atacante criou uma página de erro personalizada com o script CoinHive” e “se um usuário receber uma página de erro de qualquer tipo durante a navegação na Web, ele obterá essa página de erro personalizada que minerará o CoinHive para o invasor”, diz o pesquisador da Trustwave. Simon Kenin.
O que é notável nessa campanha é que os invasores estão infectando um grande número de dispositivos por vez, em vez de buscar sites com poucos visitantes ou usuários finais usando “maneiras sofisticadas” de executar malware em seus computadores.
“Há centenas de milhares desses dispositivos (MikroTik) em todo o mundo, usados por ISPs e diferentes organizações e empresas, cada dispositivo atende pelo menos dezenas, se não centenas de usuários diariamente”, disse Kenin.
É um bom lembrete para os usuários e gerentes de TI que ainda estão executando os roteadores MikroTik vulneráveis em seu ambiente para corrigir seus dispositivos o mais rápido possível. Um único patch, disponível desde abril, é “suficiente para interromper essa exploração”.
Esta não é a primeira vez que os roteadores MikroTik são direcionados para espalhar malware. Em março deste ano, um sofisticado grupo de hackers do APT explorou vulnerabilidades desconhecidas nos roteadores MikroTik para plantar secretamente spywares nos computadores das vítimas.
Fonte: The Hacker News
