Uma botnet recém-descoberta composta por 13.000 dispositivos MikroTik usa uma má configuração nos registros do servidor de nomes de domínios (DNS) para contornar proteções de email e entregar malware, falsificando aproximadamente 20.000 domínios web.
O atacante tira proveito de um registro DNS configurado inadequadamente para o Sender Policy Framework (SPF), utilizado para listar todos os servidores autorizados a enviar e-mails em nome de um domínio.
Conforme apontado pela empresa de segurança de DNS, Infoblox, a campanha de malspam estava ativa no final de novembro de 2024.
Alguns dos e-mails se passavam pela empresa de envios DHL Express e entregavam falsas faturas de carga com um arquivo ZIP contendo um payload malicioso.
Dentro do anexo ZIP havia um arquivo JavaScript que monta e executa um script em PowerShell.
O script estabelece uma conexão com o servidor C2 (Command and Control) do atacante em um domínio anteriormente associado a hackers russos.
"Os cabeçalhos dos muitos e-mails de spam revelaram uma vasta gama de domínios e endereços IP de servidores SMTP, e percebemos que tínhamos descoberto uma ampla rede de aproximadamente 13.000 dispositivos MikroTik sequestrados, todos parte de uma botnet considerável," explica a Infoblox.
A Infoblox esclarece que os registros DNS do SPF para cerca de 20.000 domínios foram configurados com a opção permissiva demais "+all", que permite que qualquer servidor envie e-mails em nome desses domínios.
Uma escolha mais segura seria usar a opção "-all", que limita o envio de e-mails apenas aos servidores especificados pelo domínio.
O método de comprometimento permanece pouco claro, mas a Infoblox afirma que "viu uma variedade de versões impactadas, incluindo lançamentos recentes de firmware da [MikroTik]".
Os roteadores MikroTik são conhecidos por serem poderosos e atacantes os visaram para criar botnets capazes de ataques muito potentes.
No último verão, o provedor de serviços em nuvem OVHcloud culpou uma botnet de dispositivos MikroTik comprometidos por um massivo ataque de negação de serviço que atingiu um pico recorde de 840 milhões de pacotes por segundo.
Apesar de instar os proprietários de dispositivos MikroTik a atualizarem os sistemas, muitos dos roteadores permanecem vulneráveis por períodos prolongados devido à taxa muito lenta de aplicação de patches.
A botnet, neste caso, configurou os dispositivos como proxies SOCKS4 para lançar ataques de DDoS, enviar e-mails de phishing, exfiltrar dados e, de modo geral, ajudar a mascarar a origem do tráfego malicioso.
"Mesmo que a botnet consista em 13.000 dispositivos, sua configuração como proxies SOCKS permite que dezenas ou até centenas de milhares de máquinas comprometidas os utilizem para acesso à rede, ampliando significativamente a escala potencial e o impacto das operações da botnet," comenta a Infoblox.
Aconselha-se aos proprietários de dispositivos MikroTik aplicar a última atualização de firmware para o seu modelo, alterar as credenciais padrão da conta de administrador e fechar o acesso remoto aos painéis de controle se não for necessário.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...