Nel mondo della sicurezza informatica, le minacce continuano a evolversi, e un nuovo attore si è recentemente affacciato sulla scena. Un botnet composto da circa 13.000 router MikroTik compromessi è stato utilizzato per diffondere malware attraverso campagne di spam, unendosi a una crescente lista di botnet alimentate da dispositivi MikroTik. Questa attività sfrutta configurazioni errate dei record DNS per aggirare le tecniche di protezione delle email, come spiegato in un rapporto tecnico pubblicato da Infoblox.

La campagna "Mikro Typo"

La campagna, denominata "Mikro Typo", è emersa da una scoperta avvenuta a fine novembre 2024, quando è stato individuato un attacco di malspam che utilizzava esche legate a fatture di trasporto per convincere i destinatari a eseguire un file ZIP malevolo. All'interno del file ZIP si trova un file JavaScript offuscato, progettato per eseguire uno script PowerShell che stabilisce una connessione verso un server di comando e controllo (C2).

Compromissione dei dispositivi MikroTik

Non è ancora chiaro come i router siano stati inizialmente compromessi, ma varie versioni del firmware risultano essere state colpite, comprese quelle vulnerabili a una grave vulnerabilità di escalation dei privilegi che permette l'esecuzione di codice arbitrario. Una volta compromessi, i dispositivi MikroTik vengono configurati per abilitare SOCKS, permettendo loro di operare come redirector di traffico TCP. Questo trasforma ogni dispositivo in un proxy, nascondendo l'origine del traffico malevolo e rendendo difficile il tracciamento.

Problemi di autenticazione e SPF

Un aspetto preoccupante della situazione è la mancanza di autenticazione necessaria per utilizzare questi proxy, consentendo ad altri attori malevoli di sfruttare i dispositivi compromessi o l'intera botnet per scopi illeciti, come attacchi DDoS (Distributed Denial of Service) e campagne di phishing. La campagna di malspam ha sfruttato una configurazione errata nei record SPF (Sender Policy Framework) di 20.000 domini, permettendo agli aggressori di inviare email a nome di questi domini e bypassare le protezioni di sicurezza delle email.

Consigli per i proprietari di dispositivi MikroTik

In particolare, i record SPF sono stati configurati con l’opzione estremamente permissiva "+all", eliminando di fatto il valore protettivo del framework e rendendo possibile la falsificazione del dominio legittimo da parte di dispositivi compromessi come i router MikroTik. Ai proprietari di dispositivi MikroTik si consiglia di mantenere aggiornati i propri router e di modificare le credenziali degli account predefinite per prevenire eventuali tentativi di sfruttamento. Con così tanti dispositivi MikroTik compromessi, la botnet è in grado di lanciare una vasta gamma di attività malevole, evidenziando la necessità di misure di sicurezza robuste.