Pesquisadores de segurança descobriam uma campanha onde criminosos estão alterando a configuração de roteadores MikroTik para injetar um script minerador de criptomoedas em páginas visitadas pelo usuário.
A campanha para injeção do script CoinHive parece ter sido iniciada nesta semana e afetou dispositivos no Brasil antes de começar a afetar roteadores MikroTik em outras partes do mundo.
Criminosos usam roteadores MikroTik para injeção de script minerador de criptomoedas
O primeiro a detectar os ataques foi o pesquisador de segurança que utiliza o nome MalwareHunterBR no Twitter. Com o crescimento da campanha e o aumento no número de roteadores afetados, ela também acabou atraindo a atenção de Simon Kenin, pesquisador de segurança da divisão SpiderLabs da Trustwave.
Em seu relatório, Kenin disse que os criminosos por trás desta campanha comprometeram cerca de 72.000 roteadores MikroTik no Brasil durante os estágios iniciais do ataque.
O pesquisador afirmou que o ataque tira proveito de uma vulnerabilidade 0-day no componente Winbox que foi descoberta originalmente em abril deste ano.
Na época a MikroTik corrigiu a vulnerabilidade em menos de um dia, mas muitos usuários não instalaram a atualização contendo a correção.
A falha foi analisada por pesquisadores de segurança e uma prova-de-conceito para ela foi publicada em diversas páginas no GitHub.
Os criminosos por trás desta campanha usaram uma destas provas-de-conceito para alterar o tráfego passando pelos roteadores e assim injetar o script CoinHive em todas as páginas servidas através dele.
Outro detalhe é que Kenin identificou algumas instâncias onde roteadores de outras marcas além da MikroTik também foram afetados.
No total, já são mais de 200.000 roteadores afetados por esta campanha.
O post Criminosos usam roteadores MikroTik para injeção de script minerador de criptomoedas apareceu primeiro em BABOO.
Artigo original:
www.baboo.com.br