Investigadores de seguridad han descubierto una campaña masiva que tiene como objetivo infectar routers mikrotik vulnerables, con malware de criptominado y así aprovecharse de todos los computadores conectados a este.
Los atacantes están explotando una vulnerabilidad que apareció en Abril, y que afecta a un módulo llamado WinBox en los Router Mikrotik. Cabe destacar que el parche salió a días de informarse esta vulnerabilidad, pero existen miles de administradores de mikrotik en el mundo que aún no realizan el parchado de los equipos, dejando todos estos equipos expuesto a ataques remotos.
La Campaña fue informada inicialmente por TrustWave, y esta ha afectado a una gran plaza de equipos ubicados en Brasil.
Se cree que existe un único atacante ya que la llave que está incrustada dentro del código JavaScript Coinhive es la misma para todas las víctimas. Los routers infectados por esta campaña, inyectan el código de Coinhive en cada página web que el usuario visita, con esto se evitan de estar buscando sitios web con alto nivel de flujo para infectar y así independientemente del sitio que visiten podrán minar criptomonedas en beneficio del atacante.
Otro investigador de seguridad tambien detecto un ataque similar, en la cual tambien estan explotando la vulnerabilidad de los mikrotik para poder realizar minado de monero.
Three #cryptojacking campaigns targeting MikroTik routers.— Bad Packets Report (@bad_packets) 2 de agosto de 2018
Two using Coinhive, one using Crypto-Loot.
209,501 compromised devices.
La vulnerabilidad explota el módulo de WinBox, permitiendo al atacante leer los archivos del dispositivo, y adicionalmente poder obtener acceso como administrador a cualquier router remoto que sea vulnerable.
Es completamente necesario que los administradores realicen el parchado de los equipos para evitar este tipo de ataques.
