Una red global de unos 13.000 routers Mikrotik secuestrados se ha utilizado
como botnet para propagar malware a través de campañas de spam.
La actividad
«se aprovecha de los registros DNS mal configurados para pasar las técnicas
de protección de correo electrónico»,
dijo el investigador de seguridad de Infoblox, David Brunsdon, en un informe técnico publicado la semana pasada.
«Esta botnet utiliza una red global de routers Mikrotik para enviar correos
electrónicos maliciosos que están diseñados para parecer que provienen de
dominios legítimos».
La empresa de seguridad DNS, que ha dado a la campaña el nombre en código
Mikro Typo, dijo que su análisis surgió del descubrimiento de una campaña de
malspam a fines de noviembre de 2024 que aprovechó señuelos relacionados con
facturas para incitar a los destinatarios a descargar un archivo ZIP.
El archivo ZIP contiene un archivo JavaScript ofuscado, que luego es
responsable de ejecutar un script de PowerShell diseñado para iniciar
una conexión saliente a un servidor de comando y control (C2) ubicado en la
dirección IP 62.133.60[.]137.
Se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en
los routers, pero se han visto afectadas varias versiones de firmware,
incluidas las vulnerables a
CVE-2023-30799, un problema crítico de escalamiento de privilegios que podría usarse para
lograr la ejecución de código arbitrario.
«Independientemente de cómo se hayan visto comprometidos, parece que el
actor ha estado colocando un script en los dispositivos [Mikrotik] que
habilita SOCKS (Secure Sockets), que permite que los dispositivos funcionen
como redirectores TCP», dijo Brunsdon.
«Habilitar SOCKS convierte efectivamente cada dispositivo en un proxy,
enmascarando el verdadero origen del tráfico malicioso y haciendo que sea
más difícil rastrearlo hasta la fuente».
Otro motivo de preocupación es la falta de autenticación necesaria para
utilizar estos servidores proxy, lo que permite a otros actores de amenazas
utilizar dispositivos específicos o toda la botnet para fines maliciosos, que
van desde ataques de denegación de servicio distribuido (DDoS) hasta campañas
de phishing.
Se ha descubierto que la campaña de spam malicioso en cuestión explota una
configuración incorrecta en los registros TXT del marco de políticas de
remitente (SPF) de 20.000 dominios, lo que da a los atacantes la capacidad de
enviar correos electrónicos en nombre de esos dominios y eludir varias
protecciones de seguridad del correo electrónico.
En concreto, se ha descubierto que los registros SPF están configurados con la
opción extremadamente permisiva «+all», lo que básicamente anula el
propósito de tener la protección en primer lugar. Esto también significa que
cualquier dispositivo, como los routers MikroTik comprometidos, puede
falsificar el dominio legítimo en el correo electrónico.
Se recomienda a los propietarios de dispositivos MikroTik que mantengan sus
equipos actualizados y cambien las credenciales de cuenta predeterminadas para
evitar cualquier intento de explotación.
«Con tantos dispositivos MikroTik comprometidos, la botnet es capaz de
lanzar una amplia gama de actividades maliciosas, desde ataques DDoS hasta
robo de datos y campañas de phishing», dijo Brunsdon.
«El uso de proxies SOCKS4 complica aún más los esfuerzos de detección y
mitigación, lo que resalta la necesidad de medidas de seguridad sólidas».
Se han identificado varias vulnerabilidades críticas en los enrutadores
MikroTik y la versión de firmware de un enrutador no siempre está disponible,
pero vimos una variedad de versiones afectadas, incluidas las versiones de
firmware recientes. Aquí se describe una vulnerabilidad de ejecución de código
remoto con un exploit:
https://vulncheck.com/blog/mikrotik-foisted-revisited
Autocomprobación
Si tienes un nombre de dominio que quieres comprobar para ver si tiene un
registro SPF y cómo está configurado, simplemente se pueden ver sus registros
TXT de DNS.
En Linux o MacOS:
dig +short txt example.com | grep spfEn Windows, se puede usar nslookup con un poco de PowerShell.
nslookup -type=txt example.com | Select-String -Pattern "spf"
Fuente:
THN