Una red global de aproximadamente 13,000 routers MikroTik secuestrados ha sido empleada como botnet para propagar malware a través de campañas de spam, siendo la última incorporación a una lista de botnets alimentadas por dispositivos MikroTik.
La actividad “aprovecha registros DNS mal configurados para eludir técnicas de protección de correos,” indicó el investigador de seguridad de Infoblox, David Brunsdon, en un informe técnico publicado la semana pasada. “Esta botnet utiliza una red global de routers MikroTik para enviar correos electrónicos maliciosos que parecen provenir de dominios legítimos.”
La empresa de seguridad DNS, que ha denominado la campaña como Mikro Typo, explicó que su análisis se originó tras descubrir una campaña de malspam a finales de noviembre de 2024 que usaba señuelos relacionados con facturas de carga para engañar a los destinatarios a ejecutar un archivo ZIP con un payload.
El archivo ZIP contiene un archivo JavaScript ofuscado, responsable de ejecutar un script PowerShell diseñado para iniciar una conexión saliente a un servidor de comando y control (C2) en la dirección IP 62.133.60[.]137.
El vector exacto de acceso inicial utilizado para infiltrarse en los routers es desconocido, pero varias versiones de firmware han sido afectadas, incluyendo aquellas vulnerables al CVE-2023-30799, una falla crítica de escalamiento de privilegios que permite la ejecución arbitraria de código.
“Independientemente de cómo se han comprometido, parece que el actor ha colocado un script en los dispositivos [MikroTik] que habilita SOCKS (Sockets Seguros), permitiendo que los dispositivos operen como redireccionadores TCP,” señaló Brunsdon.
“Habilitar SOCKS convierte cada dispositivo en un proxy, enmascarando el verdadero origen del tráfico malicioso y dificultando rastrear la fuente.”
La falta de autenticación para usar estos proxies agrava la preocupación, permitiendo a otros actores maliciosos utilizar dispositivos específicos o toda la botnet para actividades maliciosas, como ataques distribuidos de denegación de servicio (DDoS) o campañas de phishing.
La campaña de malspam ha explotado una configuración incorrecta en los registros TXT del marco de política del remitente (SPF) de 20,000 dominios, permitiendo a los atacantes enviar correos electrónicos en nombre de esos dominios y eludir varias protecciones de seguridad de correo.
Específicamente, se descubrió que los registros SPF están configurados con la opción extremadamente permisiva “+all,” lo que elimina el propósito de esta medida de seguridad. Esto significa que cualquier dispositivo, como los routers MikroTik comprometidos, puede suplantar un dominio legítimo en correos electrónicos.
Se recomienda a los propietarios de dispositivos MikroTik mantener sus routers actualizados y cambiar las credenciales de cuenta predeterminadas para prevenir intentos de explotación.
“Con tantos dispositivos MikroTik comprometidos, la botnet es capaz de lanzar una amplia gama de actividades maliciosas, desde ataques DDoS hasta robo de datos y campañas de phishing,” dijo Brunsdon. “El uso de proxies SOCKS4 complica aún más la detección y mitigación, subrayando la necesidad de medidas de seguridad robustas.”
A global network of around 13,000 hijacked MikroTik routers has been employed as a botnet to spread malware via spam campaigns, marking the latest addition to a list of botnets powered by MikroTik devices.
The activity “takes advantage of misconfigured DNS records to bypass email protection techniques,” Infoblox security researcher David Brunsdon said in a technical report last week. “This botnet leverages a global network of MikroTik routers to send malicious emails designed to appear as if originating from legitimate domains.”
The DNS security firm, which codenamed the campaign Mikro Typo, said its analysis began after uncovering a malspam campaign in late November 2024. This campaign used freight invoice-related lures to trick recipients into opening a ZIP archive payload.
The ZIP file contains an obfuscated JavaScript file, responsible for executing a PowerShell script that initiates an outbound connection to a command-and-control (C2) server at IP address 62.133.60[.]137.
The exact initial access vector for compromising the routers remains unknown, though multiple firmware versions, including those vulnerable to CVE-2023-30799, a critical privilege escalation flaw allowing arbitrary code execution, were affected.
“Regardless of how they were compromised, it appears the actor has installed a script on [MikroTik] devices enabling SOCKS (Secure Sockets), which allows the devices to function as TCP redirectors,” Brunsdon explained.
“Enabling SOCKS effectively turns each device into a proxy, masking the true origin of malicious traffic and complicating source tracing.”
Raising the stakes is the lack of authentication required to utilize these proxies, allowing other malicious actors to weaponize specific devices or the entire botnet for activities like distributed denial-of-service (DDoS) attacks or phishing campaigns.
The malspam campaign exploited misconfigured sender policy framework (SPF) TXT records in 20,000 domains, enabling attackers to send emails on behalf of these domains and bypass email security measures.
Notably, the SPF records were configured with the highly permissive “+all” option, undermining the safeguard’s purpose. This configuration allows any device, such as compromised MikroTik routers, to spoof legitimate domains in emails.
MikroTik device owners are advised to keep their routers updated and change default account credentials to prevent exploitation attempts.
“With so many compromised MikroTik devices, the botnet can launch a wide range of malicious activities, from DDoS attacks to data theft and phishing campaigns,” Brunsdon said. “The use of SOCKS4 proxies further complicates detection and mitigation, emphasizing the need for robust security measures.”
El pentesting o Test de penetración, en español) es una técnica de ciberseguridad que consistente en atacar entornos informáticos con la intención de descubrir vulnerabilidades en los mismos, con el objetivo de reunir la información necesaria para poder prevenir en el futuro ataques externos hacia esos mismos …
El Servicio de Seguridad en Ciclo de Desarrollo es un enfoque integral que garantiza la protección de los proyectos de software desde su fase inicial de diseño hasta su implementación final. Esto implica integrar medidas de seguridad en cada etapa del proceso de desarrollo, desde la planificación hasta la entrega del producto. La importancia de este servicio radica en varios aspectos:
En resumen, el Servicio de Seguridad en Ciclo de Desarrollo es esencial para garantizar que los productos de software sean seguros, confiables y cumplan con los estándares de seguridad y privacidad, lo que resulta en beneficios tanto para la empresa como para sus clientes.
El Phishing Ético es una servicio que consiste en realizar actividades de Ingeniería Social con propósitos legítimos y éticos, generalmente como parte de una Campaña de Concientización, Evaluación de Seguridad, Prueba de un Pentesting o Red Team.
Para más información ingresa aquí: https://www.xpoint.cl/phishing-etico/
Un Red Team en ciberseguridad es un grupo de profesionales que simulan ser adversarios externos para evaluar la seguridad de un sistema o red. Utilizan tácticas similares a las de ciberdelincuentes reales, llevan a cabo pruebas de penetración, analizan riesgos y proporcionan recomendaciones para mejorar la seguridad. Su enfoque proactivo ayuda a las organizaciones a identificar y abordar vulnerabilidades, fortaleciendo así sus defensas contra amenazas potenciales.
La gestión de vulnerabilidades es un proceso integral que se centra en identificar, evaluar y abordar las debilidades en la seguridad de un sistema o red. Este proceso sigue varios pasos clave:
La gestión de vulnerabilidades es esencial para mantener la seguridad de la información en un entorno digital en constante cambio, minimizando el riesgo de explotación y fortaleciendo las defensas contra posibles amenazas.