Pesquisadores de segurança descobriram pelo menos três grandes campanhas de malware explorando centenas de milhares de roteadores MikroTik sem patches, para instalar secretamente mineradores de criptomoedas em computadores conectados a eles.
Ao todo, as campanhas de malware comprometeram mais de 210.000 roteadores da Mikrotik em todo o mundo, e o número só aumenta.
Os criminosos vêm explorando uma vulnerabilidade conhecida no componente Winbox dos roteadores MikroTik, que pode potencialmente permitir que um invasor obtenha acesso administrativo remoto não autenticado a qualquer roteador MikroTik vulnerável.
A primeira campanha, notada pelos pesquisadores da Trustwave, começou com o direcionamento de dispositivos de rede no Brasil, onde um hacker ou um grupo de hackers comprometia mais de 183.700 roteadores MikroTik.
Como outros hackers também começaram a explorar a vulnerabilidade do roteador MikroTik, a campanha está se espalhando em escala global.
Troy Mursch, outro pesquisador de segurança, identificou duas campanhas semelhantes de malware que infectaram 25.500 e 16.000 roteadores MikroTik, principalmente na Moldávia, com código de mineração de criptomoeda malicioso do infame serviço CoinHive.
Os invasores estão injetando o Javascript do Coinhive em todas as páginas da web que um usuário visita usando um roteador vulnerável, forçando, eventualmente, cada computador conectado a minerar inadvertidamente a criptomoeda Monero para os criminosos.
“O atacante criou uma página de erro personalizada com o script CoinHive” e “se um usuário receber uma página de erro de qualquer tipo durante a navegação na Web, ele obterá essa página de erro personalizada que minerará o CoinHive para o invasor”, diz o pesquisador da Trustwave, Simon Kenin.
O que é notável nessa campanha é que os invasores estão infectando um grande número de dispositivos por vez, em vez de buscar sites com poucos visitantes ou usuários finais usando “maneiras sofisticadas” de executar malware em seus computadores.
“Há centenas de milhares desses dispositivos (MikroTik) em todo o mundo, usados por ISPs e diferentes organizações e empresas, cada dispositivo atende pelo menos dezenas, se não centenas de usuários diariamente”, disse Kenin.
Esta não é a primeira vez que os roteadores MikroTik são direcionados para espalhar malware. Em março deste ano, um sofisticado grupo de hackers APT explorou vulnerabilidades desconhecidas nos roteadores MikroTik para plantar secretamente spywares nos computadores das vítimas.