Especialistas descobriram uma enorme campanha de cryptojacking que está atualmente a alvejar os routers MikroTik para injetar um script de mineração cryptocurrency Coinhive no tráfego da web.

Especialistas em segurança descobriram uma enorme campanha de cryptojacking direcionada a routers da MikroTik. Os hackers pretendem mudar a configuração dos dispositivos para injetar um script de mineração de criptomoedas Coinhive no tráfego da Web dos utilizadores.

De acordo com Catalin Cimpanu, da Bleeping Computer, a campanha começou no Brasil, mas está a disseminar-se para outros países que usam os routers MikroTik.

A mesma campanha foi detetada pelos especialistas da Trustwave, que confirmaram que a campanha inicialmente visava os routers MikroTik usados pelos brasileiros.

“On July 31st , just after getting back to the office from my talk at RSA Asia 2018 about how cyber criminalsuse cryptocurrencies for their malicious activities, I noticed a huge surge of CoinHive in Brazil.” reads the reportpublished by Trustwave.

“After a quick look I saw that this is not your average garden variety website compromise, but that these were all MikroTik network devices.”

 

Os especialistas notaram que os dispositivos comprometidos estavam a usar a mesma chave CoinHive, a maioria deles no Brasil, o que significa que eles foram alvos dos mesmos cyber actors.

 

De acordo com a Trustwave, os hackers estavam a explorar uma falha zero-day nos routers MikroTik para injetar uma cópia da biblioteca Coinhive no tráfego de rede.

“Initial investigation indicates that instead of running a malicious executable on the router itself, which is how the exploit was being used when it was first discovered, the attacker used the device’s functionality in order to inject the CoinHive script into every web page that a user visited.” continues the analysis.

A vulnerabilidade foi descoberta em abril e corrigida pelo fornecedor em apenas um dia.

Após a fase inicial, a campanha visava dispositivos fora do Brasil e estima-se que cerca de 170.000 routers MikroTik foram comprometidos para injetar o script Coinhive. A campanha pode potencialmente comprometer mais de um milhão de routers MikroTik expostos na Internet.

“The attacker wisely thought that instead of infecting small sites with few visitors, or finding sophisticated ways to run malware on end user computers, they would go straight to the source; carrier-grade router devices,” concludes the experts.

“Even if this attack only works on pages that return errors, we’re still talking about potentially millions of daily pages for the attacker.”