O código para explorar as vulnerabilidades do CVE-2018-14847 está a tornar-se uma commodity no submundo dos hackers. Logo depois da sua divulgação os criminosos começaram a usá-lo para comprometer os routers da MikroTik. Milhares de dispositivos, sem os últimos patches de segurança instalado estão a ser usados em campanhas de crypto-jacking.
A campanha começou no Brasil mas expandiu-se rapidamente por outros continentes. Em abril foi endereçado um fix para o problema, no entanto existe muito equipamento que não foi atualizado.
Na semana passada, especialistas da empresa de segurança Qihoo 360 Netlab, descobriram mais de 7.500 routers da MikroTik que foram comprometidos para habilitar o proxy Socks4 maliciosamente, permitindo que os criminosos roubassem o tráfego dos dispositivos hackeados.
Os especialistas efetuaram um varrimento global e encontraram mais de 5.000K dispositivos com porta a TCP / 8291 aberta, e 1.200k deles são dispositivos Mikrotik, dentro dos quais 370k (30,83%) estão vulneráveis a CVE-2018-14847.
Resumindo, mais de 370.000 de 1.2 milhões de routers MikroTik ainda estão vulneráveis ao CVE-2018-14847 porque os proprietários não os atualizaram.
A maioria dos dispositivos vulneráveis encontra-se localizada no Brasil, na Rússia e na Indonésia.
Agora, o pesquisador Troy Mursch notou que os routers MikroTik infectados da última campanha abrem um túnel websocket para um mining script nos navegadores web.
“According to the researcher, the malware increases the CPU activity of an infected MikroTik router to about 80% and maintain it at this level.” reads a blog post published by BleepingComputer.
“This gives room for other tasks to run and mine for cryptocurrency at the same time, in the hope of keeping the activity hidden from the user.”
🚨 CRYPTOJACKING MALWARE DETECTED 🚨
URL: https://play.feesocrald[.]com/app.js
Opens websocket connections to: https://s*.soodatmish[.]com/@urlscanio archive: https://t.co/Icudn9c0fgCurrently found on 3,700+ compromised MikroTik routers: https://t.co/Min6evanfk pic.twitter.com/ykDxayszM5
— Bad Packets Report (@bad_packets) September 10, 2018
O especialista identificou 3.734 dispositivos através do Shodan a executar o script de mineração, e o número não para de crescer.
A maioria dos routers comprometidos nesta campanha está localizada no Brasil (2.612) e na Argentina (480).
Earlier August the researcher who goes online with the Twitter handle MalwareHunterBR uncovered a massive cryptojacking campaign that targeted MikroTik routers. The hackers aimed to change the configuration of the devices to inject a Coinhive cryptocurrency mining script in the users’ web traffic.
another mass exploitation against @mikrotik_com devices (https://t.co/4MxQbnNStA)
hxxp://170.79.26.28/
CoinHive.Anonymous(‘hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3’, #coinhive pic.twitter.com/Nr8MA0TbzY— MalwareHunterBR (@MalwareHunterBR) July 30, 2018
De acordo com a Trustwave, os hackers estam a explorar uma falha de dia zero nos roteadores MikroTik para injetar uma cópia da biblioteca Coinhive no tráfego de rede que passa pelos routers.
Pedro Tavares is a professional in the field of information security working as an Ethical Hacker/Pentester, Malware Researcher and also a Security Evangelist. He is also a founding member at CSIRT.UBI and Editor-in-Chief of the security computer blog seguranca-informatica.pt.
In recent years he has invested in the field of information security, exploring and analyzing a wide range of topics, such as pentesting (Kali Linux), malware, exploitation, hacking, IoT and security in Active Directory networks. He is also Freelance Writer (Infosec. Resources Institute and Cyber Defense Magazine) and developer of the 0xSI_f33d – a feed that compiles phishing and malware campaigns targeting Portuguese citizens.
Read more here.