Se ha empleado una red global de alrededor de 13.000 enrutadores Mikrotik secuestrados como botnet para propagar malware a trav\u00e9s de campa\u00f1as de spam, la \u00faltima incorporaci\u00f3n a una lista de botnets impulsadas por dispositivos MikroTik.<\/p>\n
La actividad “tomar[s] ventaja de los registros DNS mal configurados para pasar las t\u00e9cnicas de protecci\u00f3n del correo electr\u00f3nico”, dijo el investigador de seguridad de Infoblox, David Brunsdon. dicho<\/a> en un informe t\u00e9cnico publicado la semana pasada. “Esta botnet utiliza una red global de enrutadores Mikrotik para enviar correos electr\u00f3nicos maliciosos dise\u00f1ados para que parezcan provenir de dominios leg\u00edtimos”.<\/p>\n La empresa de seguridad DNS, que ha puesto el nombre en clave de la campa\u00f1a. Micro error tipogr\u00e1fico<\/strong>dijo que su an\u00e1lisis surgi\u00f3 del descubrimiento de una campa\u00f1a de malspam a fines de noviembre de 2024 que aprovech\u00f3 los se\u00f1uelos relacionados con las facturas de flete para atraer a los destinatarios a lanzar una carga \u00fatil de archivo ZIP.<\/p>\n El archivo ZIP contiene un archivo JavaScript ofuscado, que luego es responsable de ejecutar un script de PowerShell dise\u00f1ado para iniciar una conexi\u00f3n saliente a un servidor de comando y control (C2) ubicado en la direcci\u00f3n IP 62.133.60.[.]137.<\/p>\n Se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en los enrutadores, pero varias versiones de firmware se han visto afectadas, incluidas aquellas vulnerables a CVE-2023-30799, un problema cr\u00edtico de escalada de privilegios del que se podr\u00eda abusar para lograr la ejecuci\u00f3n de c\u00f3digo arbitrario.<\/p>\n “Independientemente de c\u00f3mo se hayan visto comprometidos, parece como si el actor hubiera estado colocando un gui\u00f3n en el [Mikrotik] dispositivos que habilitan SOCKS (Secure Sockets), que permiten que los dispositivos funcionen como redirectores TCP”, dijo Brunsdon.<\/p>\n “Habilitar SOCKS convierte efectivamente cada dispositivo en un proxy, enmascarando el verdadero origen del tr\u00e1fico malicioso y haciendo m\u00e1s dif\u00edcil rastrear hasta la fuente”.<\/p>\n Lo que aumenta la preocupaci\u00f3n es la falta de autenticaci\u00f3n necesaria para utilizar estos servidores proxy, lo que permite que otros actores de amenazas utilicen como armas dispositivos espec\u00edficos o toda la botnet con fines maliciosos, que van desde ataques distribuidos de denegaci\u00f3n de servicio (DDoS) hasta campa\u00f1as de phishing.<\/p>\n Se ha descubierto que la campa\u00f1a de malspam en cuesti\u00f3n explota una mala configuraci\u00f3n en los registros TXT del marco de pol\u00edticas del remitente (SPF) de 20.000 dominios, lo que brinda a los atacantes la capacidad de enviar correos electr\u00f3nicos en nombre de esos dominios y eludir varias protecciones de seguridad del correo electr\u00f3nico.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/01\/13000-enrutadores-MikroTik-secuestrados-por-botnet-para-malspam-y-ciberataques.png\")
<\/a><\/center><\/div>\n