O pesquisador de segurança @VriesHd descobriu uma nova campanha que faz uso de atualizações falsas para navegadores para comprometer roteadores MikroTik.
Os roteadores desta marca já foram alvo de vários problemas de segurança e ataques neste ano.
Atualização falsa para navegadores é usada para atacar roteadores MikroTik
De acordo com o pesquisador, roteadores MikroTik comprometidos utilizados por provedores de internet negligentes estão redirecionando usuários para a página mostrada abaixo com o suposto alerta dizendo que o navegador está desatualizado:
De acordo com uma pesquisa via Censys, cerca de 11.000 roteadores MikroTik comprometidos estão hospedando esta página falsa:
A atualização falsa é baixada a partir de um servidor FTP como mostrado abaixo:
A atualização falsa para navegadores baixada deste servidor tem o nome upd_browser.exe e é na verdade um script Python:
Se o usuário executar o arquivo, o erro abaixo será exibido:
Enquanto exibe este erro, diversos endereços IP tentam se conectar à porta 8291 sem que o usuário perceba. Esta porta é a padrão para gerenciamento de roteadores MikroTik usando a ferramenta Winbox.
Ele também baixa e descompacta um arquivo DLL e outros relacionados na pasta %TEMP%, que são em seguida carregados.
Os arquivos são usados para infectar o roteador do usuário se aproveitando da vulnerabilidade CVE-2018-14847 para obter as credenciais de login.
De posse das credenciais, um backdoor será criado – uma conta com uma senha gerada aleatoriamente. Uma tarefa programada para ser executada pelo roteador também será criada pelos arquivos.
O script definido no agendador é gerado a partir de um modelo. Sua principal tarefa é manipular as configurações do roteador e definir uma página de erro falsa contendo o script minerador de criptomoedas CoinHive.
A página de erro falsa pode ser colocada em dois locais: “webproxy/error.html” ou “flash/webproxy/error.html”.
Esta página é exibida para os usuários quando eles tentam acessar uma URL com acesso negado. Mas o script malicioso foi configurado no roteador de forma que qualquer requisição HTTP leva à página de erro falsa.
Os usuários de roteadores Mikrotik devem atualizar seus firmwares com as versões mais recentes e devem se certificar de que suas credenciais não foram comprometidas.
O blog da Malwarebytes traz uma análise técnica mais completa do ataque. Confira aqui.
O post Atualização falsa para navegadores é usada para atacar roteadores MikroTik apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br