Nel mondo della sicurezza informatica, le minacce continuano a evolversi, e un nuovo attore si è recentemente affacciato sulla scena. Un botnet composto da circa 13.000 router MikroTik compromessi è stato utilizzato per diffondere malware attraverso campagne di spam, unendosi a una crescente lista di botnet alimentate da dispositivi MikroTik.
La campagna "Mikro Typo"
La campagna, denominata "Mikro Typo", è emersa da una scoperta avvenuta a fine novembre 2024, quando è stato individuato un attacco di malspam che utilizzava esche legate a fatture di trasporto per convincere i destinatari a eseguire un file ZIP malevolo. All'interno del file ZIP si trova un file JavaScript offuscato, progettato per eseguire uno script PowerShell che stabilisce una connessione verso un server di comando e controllo (C2).
Compromissione dei dispositivi MikroTik
Non è ancora chiaro come i router siano stati inizialmente compromessi, ma varie versioni del firmware risultano essere state colpite, comprese quelle vulnerabili a una grave vulnerabilità di escalation dei privilegi che permette l'esecuzione di codice arbitrario. Una volta compromessi, i dispositivi MikroTik vengono configurati per abilitare SOCKS, permettendo loro di operare come redirector di traffico TCP. Questo trasforma ogni dispositivo in un proxy, nascondendo l'origine del traffico malevolo e rendendo difficile il tracciamento.
Problemi di autenticazione e SPF
Un aspetto preoccupante della situazione è la mancanza di autenticazione necessaria per utilizzare questi proxy, consentendo ad altri attori malevoli di sfruttare i dispositivi compromessi o l'intera botnet per scopi illeciti, come attacchi DDoS (Distributed Denial of Service) e campagne di phishing. La campagna di malspam ha sfruttato una configurazione errata nei record SPF (Sender Policy Framework) di 20.000 domini, permettendo agli aggressori di inviare email a nome di questi domini e bypassare le protezioni di sicurezza delle email.
Consigli per i proprietari di dispositivi MikroTik
In particolare, i record SPF sono stati configurati con l’opzione estremamente permissiva "+all", eliminando di fatto il valore protettivo del framework e rendendo possibile la falsificazione del dominio legittimo da parte di dispositivi compromessi come i router MikroTik. Ai proprietari di dispositivi MikroTik si consiglia di mantenere aggiornati i propri router e di modificare le credenziali degli account predefinite per prevenire eventuali tentativi di sfruttamento. Con così tanti dispositivi MikroTik compromessi, la botnet è in grado di lanciare una vasta gamma di attività malevole, evidenziando la necessità di misure di sicurezza robuste.