O minerador de Monero é injetado em parte do tráfego que passa pelos roteadores da MikroTik
Um ataque em massa está infectando centenas de milhares de roteadores da MikroTik no mundo desde o início da semana. A praga já afetou mais de 200 mil equipamentos, boa parte no Brasil, e executa um código em JavaScript no navegador do usuário para minerar a criptomoeda Monero e gerar dinheiro aos invasores.
Segundo o Bleeping Computer, o ataque estava concentrado no Brasil em seus estágios iniciais, quando infectou mais de 72 mil roteadores, mas depois se espalhou para o resto do mundo. O primeiro a notar o problema, aliás, foi um pesquisador de segurança brasileiro, identificado apenas como MalwareHunterBR.
another mass exploitation against @mikrotik_com devices (https://t.co/4MxQbnNStA)
hxxp://170.79.26.28/
CoinHive.Anonymous(‘hsFAjjijTyibpVjCmfJzlfWH3hFqWVT3’, #coinhive pic.twitter.com/Nr8MA0TbzY— MalwareHunterBR (@MalwareHunterBR) 30 de julho de 2018
Para fazer o ataque, o invasor se aproveita de uma falha zero-day no RouterOS, sistema operacional dos equipamentos da MikroTik. Essa brecha foi descoberta em abril e corrigida em apenas algumas horas — mas, como de costume, muita gente não aplicou o patch de segurança e continuou vulnerável.
Quando o ataque é feito com sucesso, parte do tráfego que passa pelo roteador é interceptado para incluir um minerador de criptomoeda — com isso, o código é executado no navegador do usuário, não no roteador, que tem capacidade limitada de processamento.
E o mais interessante é que o ataque funciona em qualquer direção. Como os equipamentos da MikroTik também são utilizados em ambientes corporativos, um site que estiver hospedado em um servidor cujo tráfego passe por um roteador da marca poderá ter o minerador injetado em suas páginas, independente do roteador do visitante.
Para quem tem um roteador da MikroTik, a recomendação é instalar uma atualização do RouterOS o mais rápido possível.
Fonte:
tecnoblog.net