Una red global de unos 13.000 routers Mikrotik secuestrados se ha utilizado como botnet para propagar malware a través de campañas de spam.
La actividad “se aprovecha de los registros DNS mal configurados para pasar las técnicas de protección de correo electrónico”, dijo el investigador de seguridad de Infoblox, David Brunsdon, en un informe técnico publicado la semana pasada. “Esta botnet utiliza una red global de routers Mikrotik para enviar correos electrónicos maliciosos que están diseñados para parecer que provienen de dominios legítimos”.
La empresa de seguridad DNS, que ha dado a la campaña el nombre en código Mikro Typo, dijo que su análisis surgió del descubrimiento de una campaña de malspam a fines de noviembre de 2024 que aprovechó señuelos relacionados con facturas para incitar a los destinatarios a descargar un archivo ZIP.
El archivo ZIP contiene un archivo JavaScript ofuscado, que luego es responsable de ejecutar un script de PowerShell diseñado para iniciar una conexión saliente a un servidor de comando y control (C2) ubicado en la dirección IP 62.133.60[.]137.
Se desconoce el vector de acceso inicial exacto utilizado para infiltrarse en los routers, pero se han visto afectadas varias versiones de firmware, incluidas las vulnerables a CVE-2023-30799, un problema crítico de escalamiento de privilegios que podría usarse para lograr la ejecución de código arbitrario.
“Independientemente de cómo se hayan visto comprometidos, parece que el actor ha estado colocando un script en los dispositivos [Mikrotik] que habilita SOCKS (Secure Sockets), que permite que los dispositivos funcionen como redirectores TCP”, dijo Brunsdon. “Habilitar SOCKS convierte efectivamente cada dispositivo en un proxy, enmascarando el verdadero origen del tráfico malicioso y haciendo que sea más difícil rastrearlo hasta la fuente”.
Otro motivo de preocupación es la falta de autenticación necesaria para utilizar estos servidores proxy, lo que permite a otros actores de amenazas utilizar dispositivos específicos o toda la botnet para fines maliciosos, que van desde ataques de denegación de servicio distribuido (DDoS) hasta campañas de phishing.
Se ha descubierto que la campaña de spam malicioso en cuestión explota una configuración incorrecta en los registros TXT del marco de políticas de remitente (SPF) de 20.000 dominios, lo que da a los atacantes la capacidad de enviar correos electrónicos en nombre de esos dominios y eludir varias protecciones de seguridad del correo electrónico.
En concreto, se ha descubierto que los registros SPF están configurados con la opción extremadamente permisiva “+all”, lo que básicamente anula el propósito de tener la protección en primer lugar. Esto también significa que cualquier dispositivo, como los routers MikroTik comprometidos, puede falsificar el dominio legítimo en el correo electrónico.
Se recomienda a los propietarios de dispositivos MikroTik que mantengan sus equipos actualizados y cambien las credenciales de cuenta predeterminadas para evitar cualquier intento de explotación.
“Con tantos dispositivos MikroTik comprometidos, la botnet es capaz de lanzar una amplia gama de actividades maliciosas, desde ataques DDoS hasta robo de datos y campañas de phishing”, dijo Brunsdon. “El uso de proxies SOCKS4 complica aún más los esfuerzos de detección y mitigación, lo que resalta la necesidad de medidas de seguridad sólidas”.
Se han identificado varias vulnerabilidades críticas en los enrutadores MikroTik y la versión de firmware de un enrutador no siempre está disponible, pero vimos una variedad de versiones afectadas, incluidas las versiones de firmware recientes. Aquí se describe una vulnerabilidad de ejecución de código remoto con un exploit: https://vulncheck.com/blog/mikrotik-foisted-revisited
Autocomprobación
Si tienes un nombre de dominio que quieres comprobar para ver si tiene un registro SPF y cómo está configurado, simplemente se pueden ver sus registros TXT de DNS.
En Linux o MacOS:
dig +short txt example.com | grep spfEn Windows, se puede usar nslookup con un poco de PowerShell.
nslookup -type=txt example.com | Select-String -Pattern "spf"Fuente: THN
