Una campaña masiva de cryptojacking infecta más de 200.000 routers

  • Actualidad

El atacante usa un día cero en el componente Winbox de los routers MikroTik que se descubrió en abril y que fue parcheado en menos de un día, lo que no necesariamente significa que los propietarios de los routers hayan aplicado la actualización.

También puedes leer...

DNS Security for Dummies

Diez capas de seguridad para contenedores

20 Casos de uso de CASB

Los riesgos de Blockchain

Diez consejos sobre la gestión de Bots

Investigadores de seguridad han destapado una campaña masiva de cryptojacking que apunta a los routers MikroTik y cambia su configuración para inyectar una copia del script de minería de criptomonedas Coinhive en algunas partes del tráfico web de los usuarios. En sus primeras etapas, la campaña estuvo activa principalmente en Brasil, pero más tarde comenzó a apuntar a los routers MikroTik en todo el mundo.

El primero en detectar los ataques fue un investigador brasileño que se hace llamar MalwareHunterBR en Twitter, pero a medida que la campaña se hizo cada vez mayor al impactar cada vez más routers, también llamó la atención de Simon Kenin, investigador de seguridad de la división SpiderLabs de Trustwave. Kenin afirma que los hackers detrás de esta campaña parecen haber comprometido alrededor de 72.000 routers MikroTik en Brasil durante las primeras etapas de su ataque.

Kenin señala que el atacante usa un día cero en el componente Winbox de los routers MikroTik que fue descubierto en abril. MikroTik parcheó el día cero en menos de un día, pero esto no necesariamente significa que los propietarios del router aplicaran el parche.

Un código de prueba de concepto (PoC) público del cero day apareció en varios lugares en GitHub. Según Kenin, el atacante utilizó uno de esos PoC para alterar el tráfico que pasa a través del router MikroTik e inyectar una copia de la biblioteca de Coinhive dentro de todas las páginas servidas a través del dispositivo.

Además, Kenin dice que también identificó algunos casos en los que los usuarios que no tenían routers MikroTik también se vieron afectados, algo que atribuye al hecho de que algunos ISP brasileños usen routers MikroTik para su red principal, lo que permitió al atacante inyectar el código malicioso de Coinhive en una gran cantidad de tráfico web.

El investigador afirma asimismo que, debido a la forma en que se realizó el ataque, la inyección funcionó en ambos sentidos, y no necesariamente solo para el tráfico que llega al usuario. Por ejemplo, si un sitio web está alojado en una red local detrás de un router MikroTik afectado, el tráfico a ese sitio web también se inyectará con la biblioteca de Coinhive.

De momento la campaña afecta a más de 200.000 routers y el número puede seguir creciendo. "Hay cientos de miles de estos dispositivos en todo el mundo, en uso por los ISP y diferentes organizaciones y empresas, y cada dispositivo sirve al menos a decenas sino a cientos de usuarios diariamente", alerta Kenin.