Investigadores de seguridad han desenterrado una campaña masiva de captura de criptogramas, que apunta a los enrutadores MikroTik y cambia su configuración para inyectar una copia de la secuencia de comandos de minería de criptomonedas de Coinhive en el navegador, en algunas partes del tráfico web de los usuarios.
La campaña parece haber despegado esta semana y, en sus primeras etapas, estuvo activa principalmente en Brasil, pero más tarde comenzó a apuntar a los enrutadores MikroTik en todo el mundo. El primero en detectar los ataques fue un investigador brasileño que se hace llamar MalwareHunterBR en Twitter, pero a medida que la campaña se hizo cada vez mayor al impactar cada vez más enrutadores, también llamó la atención de Simon Kenin, un investigador de seguridad de la división SpiderLabs de Trustwave.
De acuerdo con Kenin, el atacante usó uno de esos PoCs (proof-of-concept) para alterar tráfico que pasa a través del enrutador MikroTik e inyectar una copia de la Biblioteca de Coinhive dentro de todas las páginas servidas a través del enrutador.
Se sabe que es solo un actor de amenaza que explota este error porque el atacante usó solo una llave de Coinhive para todas las inyecciones de Coinhive realizadas durante la semana pasada.
Además, Kenin dice que también identificó algunos casos donde los usuarios que no eran MikroTik también se vieron afectados. Él dice que esto estaba sucediendo porque algunos ISP brasileños usaban enrutadores MikroTik para su red principal, y por lo tanto, el atacante logró inyectar el código malicioso de Coinhive en una gran cantidad de tráfico web.
Además, Kenin dice que debido a la forma en que el ataque fue realizado, la inyección funcionó en ambos sentidos, y no necesariamente solo para el tráfico que va al usuario. Por ejemplo, si un sitio web fue alojado en una red local detrás de un enrutador MikroTik afectado, el tráfico a ese sitio web también se inyectará con la biblioteca de Coinhive «.
Para más detalles recomendamos revisar el artículo original completo y esperamos conocer si han habido casos confirmados en Ecuador y/u otros países.
