Campaña de criptojacking afecta a más de 200.000 routers MikroTik
Investigadores descubrieron una campaña de criptojacking masiva que afecta a routers de la marca MikroTik y modifica su configuración para inyectar una copia del script de minería para el navegador de Coinhive en algunas partes del tráfico web del usuario.
La campaña parece haberse lanzado esta semana y en su primera etapa registra mucha actividad en Brasil, aunque luego comenzó a detectarse en routers de esta marca a lo largo de todo el mundo, publicó Bleeping Computer. Asimismo, aseguran que el primero en haber identificado este ataque fue un investigador brasileño cuya cuenta de Twitter es MalwareHunterBR, aunque a medida que la atención fue creciendo otros investigadores comenzaron a seguir de cerca el tema.
Uno de ellos fue el investigador Simon Kenin, de la empresa TrustWave, quién compartió datos con el portal de tecnología que demuestran que en las primeras etapas de la campaña se comprometieron cerca de 72.000 routers de esta marca en Brasil.
Según explicó el especialista, los responsables de la campaña aprovecharon una vulnerabilidad zero-day (descubierta el pasado mes de abril) en un componente de estos routers que les permite ganar acceso. Si bien el fabricante publicó un parche para esta falla, muchos usuarios no realizaron la actualización correspondiente. Como hemos dicho en artículos publicados anteriormente, el firmware con el que trabajan los routers necesita ser actualizado de forma manual para estar al día con los últimos parches.
De hecho, investigadores que en lo previo examinaron esta vulnerabilidad zero-day publicaron el código de pruebas de concepto realizadas sobre la falla en Github y según explica Kenin, los atacantes aprovecharon una de estas pruebas para alterar el tráfico que pasa por estos routers para inyectar una copia de la librería de Coinhive dentro de las páginas a las que ingresa el usuario al navegar por Internet utilizando uno de estos routers.
Según detalla el especialista, se trata de un único atacante el que está detrás de esta campaña porque utilizan una sola clave de Coinhive para todas las inyecciones de Coinhive que tuvieron lugar durante los últimos días, aunque también advierte que no solo los usuarios de esta marca de Routers fueron los afectados, ya que algunos ISPs de Brasil estuvieron utilizando routers MikroTik para sus redes principales, permitiendo al atacante inyectar el código para un gran volumen de tráfico web.
De acuerdo a lo que pudieron ver los investigadores en los últimos días, el ataque ha progresado en Brasil al punto de que duplicó el número inicial de víctimas, llegando insertar el código de Coinhive en más de 170.000 routers MikroTik. Según publicó el investigador Troy Murshc en su cuenta de Twitter, en el día de ayer ya iban en 209.501 los dispositivos afectados.
Esta no es la primera vez que los atacantes se aprovechan de vulnerabilidades en routers. Hace unos meses el malware denominado VPNFilter se aprovechó de más de 500.000 de estos dispositivos asociándolos a una botnet permitiéndoles no solo robar información, sino también promover ataques a terceros y afectar seriamente a los dispositivos conectados a los routers afectados.