Botnet MikroTik utiliza registros DNS SPF mal configurados para propagar malware

Iniciado por AXCESS, Enero 16, 2025, 01:10:43 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Una botnet recién descubierta de 13.000 dispositivos MikroTik utiliza una configuración incorrecta en los registros del servidor de nombres de dominio para eludir las protecciones de correo electrónico y distribuir malware falsificando aproximadamente 20.000 dominios web.

El actor de amenazas aprovecha un registro DNS configurado incorrectamente para el marco de políticas de remitente (SPF) utilizado para enumerar todos los servidores autorizados para enviar correos electrónicos en nombre de un dominio.

Registro SPF mal configurado

Según la empresa de seguridad DNS Infoblox, la campaña de spam malicioso estuvo activa a fines de noviembre de 2024. Algunos de los correos electrónicos se hacían pasar por la empresa de envíos DHL Express y entregaban facturas de flete falsas con un archivo ZIP que contenía una carga maliciosa.

Dentro del archivo ZIP adjunto había un archivo JavaScript que ensambla y ejecuta un script de PowerShell. El script establece una conexión con el servidor de comando y control (C2) del actor de la amenaza en un dominio previamente vinculado a piratas informáticos rusos.

"Los encabezados de los numerosos correos electrónicos no deseados revelaron una amplia gama de dominios y direcciones IP de servidores SMTP, y nos dimos cuenta de que habíamos descubierto una red en expansión de aproximadamente 13.000 dispositivos MikroTik secuestrados, todos parte de una red de bots considerable", explica Infoblox.

Infoblox explica que los registros DNS SPF para aproximadamente 20.000 dominios se configuraron con la opción excesivamente permisiva "+all", que permite que cualquier servidor envíe correos electrónicos en nombre de esos dominios.

"Esto básicamente frustra el propósito de tener un registro SPF, porque abre la puerta a la suplantación de identidad y al envío de correo electrónico no autorizado" - Infoblox

Una opción más segura es usar la opción "-all", que limita el envío de correo electrónico a los servidores especificados por el dominio.

Descripción general del funcionamiento de la botnet
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

MikroTik alimenta otra botnet

El método de ataque sigue sin estar claro, pero Infoblox afirma que "vieron una variedad de versiones afectadas, incluidas las recientes versiones de firmware [de MikroTik]".

Los enrutadores MikroTik son conocidos por ser potentes y los actores de amenazas los atacaron para crear botnets capaces de realizar ataques muy potentes.

El verano pasado, el proveedor de servicios en la nube OVHcloud culpó a una botnet de dispositivos MikroTik comprometidos por un ataque masivo de denegación de servicio que alcanzó un récord de 840 millones de paquetes por segundo.

A pesar de instar a los propietarios de dispositivos MikroTik a actualizar los sistemas, muchos de los enrutadores siguen siendo vulnerables durante largos períodos de tiempo debido a una tasa de parches muy lenta.

La botnet en este caso configuró los dispositivos como proxies SOCKS4 para lanzar ataques DDoS, enviar correos electrónicos de phishing, exfiltrar datos y, en general, ayudar a enmascarar el origen del tráfico malicioso.

"Aunque la botnet consta de 13.000 dispositivos, su configuración como servidores proxy SOCKS permite que decenas o incluso cientos de miles de máquinas comprometidas los utilicen para acceder a la red, lo que amplifica significativamente la escala potencial y el impacto de las operaciones de la botnet", comenta Infoblox.

Se recomienda a los propietarios de dispositivos MikroTik que apliquen la última actualización de firmware para su modelo, cambien las credenciales de la cuenta de administrador predeterminada y cierren el acceso remoto a los paneles de control si no es necesario.

Fuente:
BleepìngComputer
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta