Atores desconhecidos estão explorando roteadores industriais celulares da Milesight para enviar mensagens SMS como parte de uma campanha de smishing que vem atingindo usuários em países europeus desde pelo menos fevereiro de 2022.
A empresa francesa de cibersegurança SEKOIA explicou que os atacantes têm usado a API desses roteadores para distribuir SMS maliciosos com URLs de phishing.
A campanha foca principalmente na Suécia, Itália e Bélgica, utilizando domínios typosquatted que imitam plataformas governamentais como CSAM e eBox, além de serviços bancários, postais e provedores de telecomunicações.
Dos 18.000 roteadores desse modelo acessíveis pela internet pública, pelo menos 572 foram identificados como potencialmente vulneráveis, devido à exposição das APIs inbox/outbox.
Cerca de metade desses dispositivos vulneráveis está localizada na Europa.
“A API permite tanto o envio quanto o recebimento de mensagens SMS, o que indica que a vulnerabilidade vem sendo explorada ativamente para o envio dessas campanhas maliciosas desde fevereiro de 2022”, afirmou a SEKOIA.
“Não há evidências de tentativas de instalar backdoors ou explorar outras falhas no dispositivo, o que sugere um ataque focado exclusivamente nas operações de smishing.”
Acredita-se que os invasores estejam tirando proveito de uma vulnerabilidade de informação (information disclosure) já corrigida, que afetava os roteadores Milesight (
CVE-2023-43261
, com nota CVSS 7.5).
Essa falha foi revelada pelo pesquisador Bipin Jitiya há exatamente dois anos.
Poucas semanas após a divulgação, a empresa VulnCheck reportou indícios de que a vulnerabilidade já estaria sendo explorada na prática.
Investigações adicionais mostraram que alguns desses roteadores industriais disponibilizam funções relacionadas a SMS, como envio de mensagens e visualização do histórico, sem nenhuma forma de autenticação.
O modus operandi dos atacantes provavelmente começa por uma fase de validação inicial, na qual tentam confirmar se o roteador é capaz de enviar SMS, usando números de telefone sob seu controle.
A SEKOIA também ressaltou que a API pode estar aberta ao público devido a configurações incorretas, uma vez que alguns equipamentos com versões mais recentes de firmware, imunes ao
CVE-2023-43261
, também foram encontrados online.
As URLs de phishing distribuídas por esse método contêm código JavaScript que identifica se a página está sendo acessada via dispositivo móvel antes de exibir o conteúdo malicioso.
Esse conteúdo geralmente induz o usuário a atualizar suas informações bancárias sob a falsa promessa de reembolso.
Além disso, um dos domínios usados nas campanhas entre janeiro e abril de 2025 — jnsi[.]xyz — inclui JavaScript que desativa o clique com o botão direito e ferramentas de depuração do navegador para dificultar análises.
Algumas das páginas desse domínio chegam a registrar visitantes e enviam esses dados para um bot do Telegram chamado GroozaBot, controlado por um ator identificado como “Gro_oza”, que aparentemente fala árabe e francês.
“As campanhas de smishing parecem ter sido realizadas exatamente graças à exploração de roteadores celulares vulneráveis — um vetor relativamente simples, porém eficaz,” conclui a SEKOIA.
“Esses dispositivos são particularmente atrativos para os cibercriminosos, pois possibilitam a distribuição descentralizada de SMS entre vários países, dificultando tanto a detecção quanto a interrupção dos ataques.”
Publicidade
Mantenha seus dados longe de hackers e ameaças digitais com a NordVPN, uma das mais rápidas e seguras do mundo. Com tecnologia de criptografia avançada, você protege até 10 dispositivos e ainda conta com recursos poderosos como bloqueio de malware, monitoramento da dark web e backup criptografado. Aproveite até 70% de desconto e experimente com garantia de reembolso de 30 dias. Segurança digital nunca foi tão fácil e eficiente. Saiba mais...