O pesquisador Simon Kenin, da empresa de segurança Trustwave, encontrou na web uma nova botnet. Ela é formada formada por mais de 170.000 roteadores marca MikroTik, que estão iinfectados com scripts Coinhive para minerar criptomoedas usando os computadores e dispositivos dos usuários conectados. Segundo o pesquisador, essa botnet começou com roteadores no Brasil, e em pouco tempo começou a infectar dispositivos de todo o mundo, já ultrapassando a marca de 170.000 roteadores MikroTik comprometidos, número que também continua crescendo.
De acordo com Simon, esses roteadores foram comprometidos por meio de uma falha de segurança ainda não registrada nem documentada (uma do tipo zero day), encontrada em abril passado por um grupo de pesquisadores de segurança no componente Winbox desses roteadores. Esses pesquisadores publicaram a prova de conceito no GitHub, e isso permitiu que os hackers fizessem o desenvolvimento de um meio de explorar a falha para realizar esse ataque e transformar os roteadores em uma botnet usada para minerar criptomoedas.
Embora se estime que haja cerca de 170.000 roteadores MikroTik infectados em todo o mundo, na realidade o número de vítimas pode ser muito maior. Isso ocorre porque alguns provedores de Internet usam esse tipo de roteador. Quando infectado, ele envia automaticamente os scripts Coinhive para todos os clientes, ocultos nos pacotes HTTP. Além disso, se um site estiver conectado por meio de um roteador desse fabricante, todos os visitantes que acessarem aquele site poderão estar recebendo o script Coinhive. De acordo com o mecanismo de busca “Shodan”, existem atualmente cerca de dois milhões de roteadores MikroTik conectados, a maioria vulnerável por não ter instalado os últimos patches de segurança.
