Investigadores de seguridad han detectado una campaña masiva de malware que ha comprometido a decenas de miles de routers de Mikrotik, con el objetivo de insertar scripts de minería de Coinhive en sitios web y generar ganancias usando el hardware de los ordenadores usuarios.

Hasta ahora, se han reportado cerca de 170,000 routers de Mikrotik comprometidos con un script similar en todos los ataques, lo que sugiere que se trata una única entidad detrás de los ataques.

La campaña se ha dirigido en primer lugar a Brasil, pero los ataques han aumentado recientemente en otras regiones, según un informe del equipo de Trustwave. En este sentido, uno de sus investigadores, llamado Simon Kenin, escribió en la publicación:

Esta es una llamada de advertencia y un recordatorio a todos los que tienen un dispositivo MikroTik para que actualicen tan pronto como sea posible (…) Este ataque puede ser frecuente en Brasil, pero durante las etapas finales de la redacción de esta publicación, también noté que otras ubicaciones geográficas también se han visto afectadas, por lo que creo que este ataque debería ser a escala mundial.

Los routers de MikroTik son comunes en grandes empresas, donde son utilizados por los proveedores de servicio de internet (ISP, por sus siglas en inglés) brindar conexión a Internet diariamente a sus clientes, lo que quiere decir que cada dispositivo comprometido se traduce en un buen día de ingresos para el hacker tras la amenaza.

De hecho, Kenin habla de que millones de sitios web diarios desde los cuales se están minando criptomonedas. Lo llamativo de este hacker es que, en vez desarrollar métodos sofisticados para ejecutar malware desde los ordenadores de los usuarios, simplemente se fue a la raíz de todo: los routers de las operadoras de Internet.

El investigador continuó afirmando que a pesar de que la minería de criptomonedas es el objetivo principal de la campaña, el malware es persistente y puede adquirir nuevas características, lo que lo convierte en una amenaza mayor.

La campaña aprovecha una vulnerabilidad de día cero conocida en los routers, que había sido parcheada por MikroTik en abril pasado. Pero el usuario de Twitter @MalwareHunterBR, reveló que la vulnerabilidad no había recibido el parche de seguridad correcto, y permitió al hacker obtener acceso remoto no autenticado a cualquier router MikroTik. Tan solo en Brasil, más de 70,000 dispositivos han sido comprometidos.

Finalmente, los investigadores sugirieron a los usuarios de MikroTik actualizar sus dispositivos con los últimos parches de seguridad de la empresa, de lo contrario, estarían permitiendo que sus routers sean el instrumento perfecto para atacar a millones de usuarios de todo el mundo.