Pesquisadores descobriram uma campanha de criptojacking que afeta os roteadores MikroTik e modifica a configuração dos dispositivos para injetar uma cópia do script de mineração no navegador do Coinhive em algumas partes do tráfego web do usuário. Os dados são da ESET.
A campanha parece ter sido lançada na semana passada e em sua primeira fase registrou uma enorme atividade no Brasil, embora tenha sido detectada em roteadores dessa marca em todo o mundo, segundo foi publicado pelo blog de segurança Bleeping computador. Eles também afirmam que o primeiro a identificar esse ataque foi um pesquisador brasileiro cuja conta no Twitter é MalwareHunterBR, embora à medida que o alerta sobre o assunto foi crescendo, outros pesquisadores começaram a seguir o assunto mais de perto.
Um deles foi o pesquisador Simon Kenin, da empresa de segurança Trustwave, quem compartilhou dados com o Bleeping computador que mostram que nos primeiros estágios da campanha cerca de 72.000 roteadores MikroTik foram comprometidos no Brasil.
Os responsáveis pela campanha aproveitaram uma vulnerabilidade zero-day (descoberta em abril deste ano) em um componente dos roteadores. Embora o fabricante tenha publicado um patch para essa falha, muitos usuários não realizaram a atualização correspondente. Como já destacamos em artigos publicados anteriormente, o firmware com o qual os roteadores trabalham precisa ser atualizado manualmente para acompanhar os patches mais recentes.
Os pesquisadores que anteriormente analisaram essa vulnerabilidade zero-day publicaram o código de testes de conceito realizados sobre a falha no Github e, segundo explica Kenin, os atacantes aproveitaram estes testes para alterar o tráfego que passa através desses roteadores para injetar uma cópia da biblioteca do Coinhive dentro das páginas que o usuário acessa ao navegar na Internet usando um desses roteadores.
Trata-se de um único atacante que está por trás dessa campanha considerando que apenas uma única chave do Coinhive é usada para todas as injeções do Coinhive que tiveram lugar nos últimos dias, mas também adverte que não só os usuários desta marca de roteadores foram afetados, já que alguns ISPs do Brasil estavam usando roteadores MikroTik para suas redes principais, permitindo que o atacante pudesse injetar o código para um grande volume de tráfego web.
De acordo com o que os pesquisadores puderam ver nos últimos dias, o ataque tem progredido ao ponto que o Brasil duplicou o número inicial de vítimas, chegando a inserir o código do Coinhive em mais de 170.000 roteadores MikroTik. Segundo o pesquisador Troy Murshc publicou em sua conta no Twitter, na semana passada já haviam 209.501 dispositivos afetados.
Esta não é a primeira vez que os atacantes se aproveitam das vulnerabilidades nos roteadores. Há alguns meses atrás o malware chamado VPNFilter se aproveitou de mais de 500.000 desses dispositivos conectando-os a uma botnet que lhes permitia não só roubar informações, mas também promover ataques contra outros roteadores e, consequentemente, afetar seriamente os dispositivos conectados aos roteadores atacados.
