Los investigadores de seguridad han desenterrado una campaña masiva de captura de criptogramas que apunta a los routers MikroTik y cambia su configuración para inyectar una copia de la secuencia de comandos de minería de criptomonedas de Coinhive en el navegador en algunas partes del tráfico web de los usuarios.
La campaña parece haber despegado esta semana y, en sus primeras etapas, estuvo activa principalmente en Brasil, pero más tarde comenzó a apuntar a los enrutadores MikroTik en todo el mundo.
El primero en detectar los ataques fue un investigador brasileño que se hace llamar MalwareHunterBR en Twitter, pero a medida que la campaña se hizo cada vez mayor al impactar cada vez más enrutadores, también llamó la atención de Simon Kenin, investigador de seguridad de SpiderLabs de Trustwave. división.
En un informe que Trustwave compartió con Bleeping Computer, Kenin dice que los hackers detrás de esta campaña parecen haber comprometido alrededor de 72,000 routers MikroTik en Brasil durante las primeras etapas de su ataque.
Kenin dice que el atacante usa un zero-day en el componente Winbox de los enrutadores MikroTik que fue descubierto en abril. MikroTik parcheó el zero-day en menos de un día, en abril, pero esto no necesariamente significaba que los propietarios del enrutador aplicaran el parche requerido.
En cambio, el antiguo día zero-day analizado por los investigadores de seguridad, y el código de prueba de concepto (PoC) apareció al público en varios lugares de GitHub.
Hacker usando MikroTik Zero-Day, abril de 2018
Según Kenin, el atacante utilizó uno de esos PoCs para alterar el tráfico que pasa a través del enrutador MikroTik e inyectar una copia de la biblioteca de Coinhive dentro de todas las páginas servidas a través del enrutador.
Sabemos que es solo un actor de amenazas que explota este error porque el atacante usó solo una llave de Coinhive para todas las inyecciones de Coinhive que realizó la semana pasada.
Además, Kenin dice que también identificó algunos casos en los que los usuarios que no pertenecían a MikroTik también se vieron afectados. Él dice que esto estaba sucediendo porque algunos ISP brasileños estaban usando enrutadores MikroTik para su red principal, y por lo tanto, el atacante logró inyectar el código malicioso de Coinhive en una gran cantidad de tráfico web.
Además, Kenin dice que debido a la forma en que se realizó el ataque, la inyección funcionó en ambos sentidos, y no necesariamente solo para el tráfico que llega al usuario. Por ejemplo, si un sitio web está alojado en una red local detrás de un enrutador MikroTik afectado, el tráfico a ese sitio web también se inyectará con la biblioteca de Coinhive.
El Hacker se volvió más cuidadoso, ¡redujo la explotación!
Pero inyectar Coinhive en tanto tráfico es muy ruidoso y tiende a molestar a los usuarios, lo que podría llevar a los usuarios y proveedores de servicios de Internet a investigar el origen del problema, como sucedió con este usuario en Reddit .
El atacante también parece haber entendido este problema, y Kenin dice que en los ataques recientes, el hacker cambió de táctica y solo inyectó la secuencia de comandos de Coinhive en páginas de error devueltas por los enrutadores.
Pero reducir su superficie de ataque no parece ser una degradación para el atacante. El investigador de Trustwave dice que en los últimos días ha visto el ataque propagarse fuera de Brasil, y ahora ha más que duplicado los números iniciales, con configuraciones alteradas y agregado la inyección de Coinhive en más de 170,000 enrutadores MikroTik .
"Permítanme enfatizar cuán malo es este ataque", dice Kenin. "Hay cientos de miles de estos dispositivos en todo el mundo, en uso por los ISP y diferentes organizaciones y empresas, cada dispositivo sirve al menos a decenas sino a cientos de usuarios diariamente".
"El atacante sabiamente pensó que, en lugar de infectar sitios pequeños con pocos visitantes, o encontrar maneras sofisticadas de ejecutar malware en las computadoras de los usuarios finales, irían directamente a la fuente: dispositivos de enrutador de nivel de operador", agregó.
"Incluso si este ataque solo funciona en páginas que devuelven errores, todavía estamos hablando de potencialmente millones de páginas diarias para el atacante".
El ataque tiene espacio para crecer
Una consulta en el motor de búsqueda Shodan IoT revela que hay más de 1.7 millones de enrutadores MikroTik disponibles en línea.
Bleeping Computer se comunicó con el equipo de Coinhive y les preguntó si habían eliminado la clave de este sitio y cuánto había atacado a través de su esquema.
ACTUALIZACIÓN: Poco después de la publicación de este artículo, el investigador de seguridad Troy Mursch le dijo a Bleeping Computer que descubrió una segunda llave de Coinhive inyectada en el tráfico de los routers MikroTik. Esta campaña ha tocado a más de 25,000 routers, con un total de más de 200,000, ya que la primera clave de Coinhive ahora se usaba en más de 175,000 dispositivos. No está claro si esta segunda campaña está siendo orquestada por otro pirata informático, o por el mismo actor de amenazas que cambió a una nueva clave después de que Trustwave expusiera su primera operación. El título del artículo también fue actualizado.
fuente: bleepingcomputer
Comments