Se ha empleado una red global de alrededor de 13.000 enrutadores Mikrotik secuestrados como botnet para propagar malware a través de campañas de spam, la última incorporación a una lista de botnets impulsadas por dispositivos MikroTik.
La actividad “tomar[s] ventaja de los registros DNS mal configurados para pasar las técnicas de protección del correo electrónico”, dijo el investigador de seguridad de Infoblox, David Brunsdon. dicho en un informe técnico publicado la semana pasada. “Esta botnet utiliza una red global de enrutadores Mikrotik para enviar correos electrónicos maliciosos diseñados para que parezcan provenir de dominios legítimos”.
La empresa de seguridad DNS, que ha puesto el nombre en clave de la campaña. Micro error tipográficodijo que su análisis surgió del descubrimiento de una campaña de malspam a fines de noviembre de 2024 que aprovechó los señuelos relacionados con las facturas de flete para atraer a los destinatarios a lanzar una carga útil de archivo ZIP.
El archivo ZIP contiene un archivo JavaScript ofuscado, que luego es responsable de ejecutar un script de PowerShell diseñado para iniciar una conexión saliente a un servidor de comando y control (C2) ubicado en la dirección IP 62.133.60.[.]137.
Se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en los enrutadores, pero varias versiones de firmware se han visto afectadas, incluidas aquellas vulnerables a CVE-2023-30799, un problema crítico de escalada de privilegios del que se podría abusar para lograr la ejecución de código arbitrario.
“Independientemente de cómo se hayan visto comprometidos, parece como si el actor hubiera estado colocando un guión en el [Mikrotik] dispositivos que habilitan SOCKS (Secure Sockets), que permiten que los dispositivos funcionen como redirectores TCP”, dijo Brunsdon.
“Habilitar SOCKS convierte efectivamente cada dispositivo en un proxy, enmascarando el verdadero origen del tráfico malicioso y haciendo más difícil rastrear hasta la fuente”.
Lo que aumenta la preocupación es la falta de autenticación necesaria para utilizar estos servidores proxy, lo que permite que otros actores de amenazas utilicen como armas dispositivos específicos o toda la botnet con fines maliciosos, que van desde ataques distribuidos de denegación de servicio (DDoS) hasta campañas de phishing.
Se ha descubierto que la campaña de malspam en cuestión explota una mala configuración en los registros TXT del marco de políticas del remitente (SPF) de 20.000 dominios, lo que brinda a los atacantes la capacidad de enviar correos electrónicos en nombre de esos dominios y eludir varias protecciones de seguridad del correo electrónico.
Específicamente, se ha descubierto que los registros SPF están configurados con la opción extremadamente permisiva “+todo”, lo que esencialmente anula el propósito de tener la protección en primer lugar. Esto también significa que cualquier dispositivo, como los enrutadores MikroTik comprometidos, puede falsificar el dominio legítimo en el correo electrónico.
Se recomienda a los propietarios de dispositivos MikroTik que mantengan sus enrutadores actualizados y cambien las credenciales de cuenta predeterminadas para evitar cualquier intento de explotación.
“Con tantos dispositivos MikroTik comprometidos, la botnet es capaz de lanzar una amplia gama de actividades maliciosas, desde ataques DDoS hasta robo de datos y campañas de phishing”, dijo Brunsdon. “El uso de proxies SOCKS4 complica aún más los esfuerzos de detección y mitigación, lo que destaca la necesidad de medidas de seguridad sólidas”.
About the Author
