Los enrutadores vulnerables de MikroTik se han utilizado indebidamente para formar lo que los investigadores de seguridad cibern\u00e9tica han llamado una de las operaciones de ciberdelincuencia de botnet como servicio m\u00e1s grandes vistas en los \u00faltimos a\u00f1os. <\/p>\n
Seg\u00fan una nueva investigaci\u00f3n publicada por Avast, una campa\u00f1a de miner\u00eda de criptomonedas que aprovecha la botnet Glupteba recientemente interrumpida, as\u00ed como el infame malware TrickBot, se distribuyeron utilizando el mismo servidor de comando y control (C2).<\/p>\n
“El servidor C2 sirve como una botnet como servicio que controla casi 230\u00a0000 enrutadores MikroTik vulnerables”, dijo Martin Hron, investigador s\u00e9nior de malware de Avast. dijo<\/a> en un art\u00edculo, potencialmente vincul\u00e1ndolo a lo que ahora se llama la botnet M\u0113ris.<\/p>\n Se sabe que la botnet explota una vulnerabilidad conocida en el componente Winbox de los enrutadores MikroTik (CVE-2018-14847), lo que permite a los atacantes obtener acceso administrativo remoto no autenticado a cualquier dispositivo afectado. Partes de la botnet M\u0113ris fueron hundido<\/a> a finales de septiembre 2021<\/a>.<\/p>\n “La vulnerabilidad CVE-2018-14847, que se public\u00f3 en 2018, y para la cual MikroTik emiti\u00f3 una soluci\u00f3n, permiti\u00f3 a los ciberdelincuentes detr\u00e1s de esta botnet esclavizar a todos estos enrutadores y presumiblemente alquilarlos como un servicio”, dijo Hron. .<\/p>\n En la cadena de ataque observada por Avast en julio de 2021, los enrutadores MikroTik vulnerables fueron atacados para recuperar la carga \u00fatil de la primera etapa de un dominio llamado bestony[.]club, que luego se us\u00f3 para obtener scripts adicionales de un segundo dominio “globalmoby[.]xyz”.<\/p>\n Bastante interesante, ambos dominios estaban vinculados a la misma direcci\u00f3n IP: 116.202.93[.]14, lo que llev\u00f3 al descubrimiento de siete dominios m\u00e1s que se usaron activamente en ataques, uno de los cuales (tik.anyget[.]ru) se us\u00f3 para enviar muestras de malware Glupteba a hosts espec\u00edficos.<\/p>\n “Al solicitar la URL https:\/\/tik.anyget[.]ru Fui redirigido al dominio https:\/\/routers.rip\/site\/login (que nuevamente est\u00e1 oculto por el proxy de Cloudflare)”, dijo Hron. “Este es un panel de control para la orquestaci\u00f3n de enrutadores MikroTik esclavizados”, con el p\u00e1gina que muestra un contador en vivo de los dispositivos conectados a la botnet.<\/p>\n Pero despu\u00e9s de que los detalles de la botnet M\u0113ris entraran en el dominio p\u00fablico a principios de septiembre de 2021, se dice que el servidor C2 dej\u00f3 de servir scripts abruptamente antes de desaparecer por completo.<\/p>\n![\"Copias](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2022\/03\/El-malware-bancario-para-Android-TeaBot-se-propaga-de-nuevo.png\")
<\/a><\/div>\n