El investigador de seguridad David Brunsdon ha publicado un informe técnico hace unos días donde denuncia que actores de amenazas han conseguido secuestrar 13.000 routers MicroTik para usarlos como botnet y, de esta forma, propagar malware. "Esta botnet se sirve de una red global de routers Mikrotik para enviar correos electrónicos maliciosos que están diseñados para aparentar provenir de dominios legítimos", ha señalado.
Brundson explica que, independientemente de cómo hayan sido comprometidos, el actor de amenazas habría estado colocando un script en los dispositivos que habilita SOCKS (Secure Sockets), los cuales permiten que los dispositivos funcionen como redirectores TCP.
"Habilitar SOCKS convierte efectivamente cada dispositivo en un proxy, enmascarando el verdadero origen del tráfico malicioso y dificultando el rastreo hasta la fuente", concluye.
Lo que resulta más preocupante a este investigador es la falta de autenticación necesaria para usar dichos servidores proxy, permitiendo que otros actores de amenazas puedan usar dispositivos específicos o toda la botnet para fines maliciosos. Estos van desde campañas de phishing hasta ataques DDoS (de denegación de servicio distribuidos).
Miles de dominios, dominados
La campaña puede explotar una configuración incorrecta de 20.000 dominios, adoptando su nombre y eludiendo varias protecciones de seguridad del correo electrónico.
"Con tantos dispositivos MikroTik comprometidos, la botnet es capaz de lanzar una amplia gama de actividades maliciosas, desde ataques DDoS hasta robo de datos y campañas de phishing", ha señalado Brunsdon.
"El uso de proxies SOCKS4 complica aún más los esfuerzos de detección y mitigación, lo que resalta la necesidad de medidas de seguridad sólidas", concluye.