Este fórum foi descontinuado. LEIA AQUI e participe da Comunidade BABOO :)

Ir para conteúdo
Baboo

Atualização falsa para navegadores é usada para atacar roteadores MikroTik

Mensagem Recomendada

O pesquisador de segurança @VriesHd descobriu uma nova campanha que faz uso de atualizações falsas para navegadores para comprometer roteadores MikroTik.

Os roteadores desta marca já foram alvo de vários problemas de segurança e ataques neste ano.

Atualização falsa para navegadores é usada para atacar roteadores MikroTik

De acordo com o pesquisador, roteadores MikroTik comprometidos utilizados por provedores de internet negligentes estão redirecionando usuários para a página mostrada abaixo com o suposto alerta dizendo que o navegador está desatualizado:

Atualização falsa para navegadores é usada para atacar roteadores MikroTik

De acordo com uma pesquisa via Censys, cerca de 11.000 roteadores MikroTik comprometidos estão hospedando esta página falsa:

Censys Results

A atualização falsa é baixada a partir de um servidor FTP como mostrado abaixo:

Sourcecode

A atualização falsa para navegadores baixada deste servidor tem o nome upd_browser.exe e é na verdade um script Python:

Upd Browser

Se o usuário executar o arquivo, o erro abaixo será exibido:

Error PopupEnquanto exibe este erro, diversos endereços IP tentam se conectar à porta 8291 sem que o usuário perceba. Esta porta é a padrão para gerenciamento de roteadores MikroTik usando a ferramenta Winbox.

Ele também baixa e descompacta um arquivo DLL e outros relacionados na pasta %TEMP%, que são em seguida carregados.

Os arquivos são usados para infectar o roteador do usuário se aproveitando da vulnerabilidade CVE-2018-14847 para obter as credenciais de login.

De posse das credenciais, um backdoor será criado – uma conta com uma senha gerada aleatoriamente. Uma tarefa programada para ser executada pelo roteador também será criada pelos arquivos.

O script definido no agendador é gerado a partir de um modelo. Sua principal tarefa é manipular as configurações do roteador e definir uma página de erro falsa contendo o script minerador de criptomoedas CoinHive.

A página de erro falsa pode ser colocada em dois locais: “webproxy/error.html” ou “flash/webproxy/error.html”.

Esta página é exibida para os usuários quando eles tentam acessar uma URL com acesso negado. Mas o script malicioso foi configurado no roteador de forma que qualquer requisição HTTP leva à página de erro falsa.

Os usuários de roteadores Mikrotik devem atualizar seus firmwares com as versões mais recentes e devem se certificar de que suas credenciais não foram comprometidas.

O blog da Malwarebytes traz uma análise técnica mais completa do ataque. Confira aqui.

O post Atualização falsa para navegadores é usada para atacar roteadores MikroTik apareceu primeiro em BABOO.

Ler artigo completo


[]s
 
Aurélio “Baboo”

assinatura-comunidade-baboo-mvp.png

Compartilhar este post


Link para o post
Compartilhar em outros sites
Visitante
Este tópico é muito antigo e está impedido de receber novos posts. Se você quiser ajuda ou suporte, crie um novo tópico.

×
×
  • Criar Novo...