Coinhive Cryptojacking afecta a 170000 routers MikroTik
Desenterrado una campaña masiva de detección de criptografía que ataca e infecta a los enrutadores MikroTik con una copia del script de minería de criptomonedas en el navegador de Coinhive.
La campaña parece haber despegado esta semana y, en sus primeras etapas, estuvo activa principalmente en Brasil, pero más tarde comenzó a apuntar a los enrutadores MikroTik en todo el mundo.
El primero en detectar los ataques fue un investigador brasileño que se hace llamar MalwareHunterBR en Twitter, pero a medida que la campaña se hizo cada vez mayor al infectar cada vez más enrutadores, también llamó la atención de Simon Kenin, investigador de seguridad de SpiderLabs de Trustwave.
Shodan busca enrutadores infectados
Kenin dice que el atacante usa un día cero en el componente Winbox de los enrutadores MikroTik que fue descubierto en abril . MikroTik parcheó el día cero en menos de un día, en abril, pero esto no necesariamente significaba que los propietarios del enrutador aplicaran el parche requerido.
En cambio, el antiguo día cero fue disecado por los investigadores de seguridad, y el código de prueba de concepto (PoC) público apareció en varios lugares en GitHub.
Según Kenin, el atacante utilizó uno de esos PoCs para alterar el tráfico que pasa a través del enrutador MikroTik e inyectar una copia de la biblioteca de Coinhive dentro de todas las páginas servidas a través del enrutador.
Sabemos que es solo un actor de amenazas que explota este error porque el atacante usó solo una llave de Coinhive para todas las inyecciones de Coinhive que realizó la semana pasada.
Además, Kenin dice que también identificó algunos casos en los que los usuarios que no pertenecían a MikroTik también se vieron afectados. Él dice que esto estaba sucediendo porque algunos ISP brasileños estaban usando enrutadores MikroTik para su red principal, y por lo tanto, el atacante logró inyectar el código malicioso de Coinhive en una gran cantidad de tráfico web.
Además, Kenin dice que debido a la forma en que se realizó el ataque, la inyección funcionó en ambos sentidos, y no necesariamente solo para el tráfico que llega al usuario. Por ejemplo, si un sitio web está alojado en una red local detrás de un enrutador MikroTik afectado, el tráfico a ese sitio web también se inyectará con la biblioteca de Coinhive.
El Hacker se volvió más cuidadoso, redujo la operación
Pero inyectar Coinhive en tanto tráfico es muy ruidoso y tiende a molestar a los usuarios, lo que podría llevar a los usuarios y proveedores de servicios de Internet a investigar el origen del problema.
El atacante también parece haber entendido este problema, y Kenin dice que en los ataques recientes, el hacker cambió de táctica y solo inyectó la secuencia de comandos de Coinhive en páginas de error devueltas por los enrutadores.
Pero reducir su superficie de ataque no parece ser una degradación para el atacante. El investigador de Trustwave dice que en los últimos días ha visto el ataque propagarse fuera de Brasil, y ahora ha más que duplicado los números iniciales, al haber infectado más de 170,000 enrutadores MikroTik.
"Permítanme enfatizar cuán malo es este ataque", dice Kenin. "Hay cientos de miles de estos dispositivos en todo el mundo, en uso por los ISP y diferentes organizaciones y empresas, cada dispositivo sirve al menos a decenas sino a cientos de usuarios diariamente".
"El atacante sabiamente pensó que, en lugar de infectar sitios pequeños con pocos visitantes, o encontrar maneras sofisticadas de ejecutar malware en las computadoras de los usuarios finales, irían directamente a la fuente: dispositivos de enrutador de nivel de operador", agregó.
"Incluso si este ataque solo funciona en páginas que devuelven errores, todavía estamos hablando de potencialmente millones de páginas diarias para el atacante".
El ataque tiene espacio para crecer
Una consulta en el motor de búsqueda Shodan IoT revela que hay más de 1.7 millones de enrutadores MikroTik disponibles en línea.