Un nuevo descubrimiento de los investigadores de Trustwave ha revelado que una campaña de criptomimería de CoinHive ha afectado a más de 200.000 enrutadores MikroTik.
Los investigadores se alertaron luego de presenciar un aumento en la actividad de CoinHive en Brasil. La investigación adicional reveló que los enrutadores MikroTik son la raíz de las actividades. A través de la campaña, los malos personajes detrás de la campaña usan zero-day en el componente Winbox de los enrutadores MikroTik. La vulnerabilidad fue reparada por la empresa en un día, pero hay muchos enrutadores que no han aplicado el parche.
Según el informe de Trustwave, el atacante está utilizando la funcionalidad del dispositivo para inyectar el script CoinHive en cada página web visitada por los usuarios. Los atacantes han utilizado uno de los códigos de prueba de concepto que apareció en GitHub para alterar el tráfico que pasa a través del enrutador MikroTik.
Solo se ha utilizado una clave de CoinHIve en los dispositivos que muestra que solo un personaje está detrás de todos los ataques.
“Si un usuario recibe una página de error de cualquier tipo durante la navegación web, obtendrá esta página de error personalizada que extraerá CoinHive para el atacante”, dijo el informe.
El ataque se está extendiendo a un ritmo masivo y también ha afectado a algunos de los usuarios que no son MikroTik.
