Milhares de routers da familia MikroTik , sem patches, estão envolvidos em novas campanhas de mineração de criptomoedas (crypto-jacking).

O código para explorar as vulnerabilidades do CVE-2018-14847 está a tornar-se uma commodity no submundo dos hackers. Logo depois  da sua divulgação os criminosos começaram a usá-lo para comprometer os routers da MikroTik. Milhares de dispositivos, sem os últimos patches de segurança instalado estão a ser usados em campanhas de crypto-jacking.

No início de agosto, especialistas de segurança descobriram uma campanha de crypto-jacking que tinha como alvo os routers da MikroTik e que injetava um script de mineração da Coinhive no tráfego web.

A campanha começou no Brasil mas expandiu-se rapidamente por outros continentes. Em abril foi endereçado um fix para o problema, no entanto existe muito equipamento que não foi atualizado.

Na semana passada, especialistas da empresa de segurança Qihoo 360 Netlab, descobriram mais de 7.500 routers da MikroTik que foram comprometidos para habilitar o proxy Socks4 maliciosamente, permitindo que os criminosos roubassem o tráfego dos dispositivos hackeados.

Os especialistas efetuaram um varrimento global e encontraram mais de 5.000K dispositivos com porta a TCP / 8291 aberta, e 1.200k deles são dispositivos Mikrotik, dentro dos quais 370k (30,83%) estão vulneráveis a CVE-2018-14847.

Resumindo, mais de 370.000 de 1.2 milhões de routers MikroTik ainda estão vulneráveis ao CVE-2018-14847 porque os proprietários não os atualizaram.

A maioria dos dispositivos vulneráveis encontra-se localizada no Brasil, na Rússia e na Indonésia.

Agora, o pesquisador Troy Mursch notou que os routers MikroTik infectados da última campanha abrem um túnel websocket para um mining script nos navegadores web.

“According to the researcher, the malware increases the CPU activity of an infected MikroTik router to about 80% and maintain it at this level.” reads a blog post published by BleepingComputer.

“This gives room for other tasks to run and mine for cryptocurrency at the same time, in the hope of keeping the activity hidden from the user.”

 

 

O especialista identificou  3.734 dispositivos através do Shodan a executar o script de mineração, e o número não para de crescer.

A maioria dos routers comprometidos nesta campanha está localizada no Brasil (2.612) e na Argentina (480).

shodan-MikroTik-cryptojacking

 

Earlier August the researcher who goes online with the Twitter handle MalwareHunterBR uncovered a massive cryptojacking campaign that targeted  MikroTik routers. The hackers aimed to change the configuration of the devices to inject a Coinhive cryptocurrency mining script in the users’ web traffic.

 

De acordo com a Trustwave, os hackers estam a explorar uma falha de dia zero nos roteadores MikroTik para injetar uma cópia da biblioteca Coinhive no tráfego de rede que passa pelos routers.