Recente ataque de Hackers atingiu roteadores brasileirios da MikroTik modificando o tráfego web que passa por esses equipamentos para fornecer um código que minera a criptomoeda Monero diretamente no navegador web.
Embora o ataque tenha se concentrado inicialmente no Brasil, é possível que 170 mil roteadores da MikroTik já tenham sido atacados no mundo todo.
Obtendo o controle dos roteadores, os hackers conseguem inserir um código da CoinHive que minera a criptomoeda Monero durante a navegação web. Isso pode acontecer com um ataque ao equipamento do provedor do internauta, mas também com um ataque na infraestrutura do site que é acessado.
A mineração é um processo inofensivo em si, mas aumenta o consumo de energia e possivelmente a produção de calor do computador, o que pode reduzir a vida útil de certos equipamentos (especialmente notebooks ultrafinos, celular e tablets) e prejudicar o desempenho da máquina nas tarefas em execução.
Esse trabalho de processamento pode render moedas, o que cria retorno financeiro para o criminoso sem que ele próprio precise pagar pela conta de energia elétrica e pelo hardware de processamento. No caso desse ataque aos roteadores, o roteador em si – que tem um poder de processamento limitado — não é usado na mineração. Em vez disso, o hacker se aproveita do controle sobre o tráfego de dados que passa pelo roteador para se aproveitar dos internautas.
Esses códigos costumam ser inseridos por criminosos em sites específicos para que os visitantes comecem a minerar criptomoedas sem perceber o que está acontecendo. Em outros casos, é registrado também o abuso direto do poder de processamento de servidores. Já o ataque detectado esta semana adultera os sites durante a transmissão da página. O ataque aos roteadores é mais abrangente: um roteador atacado pode alterar qualquer página acessada.
Não está claro se todas as páginas visitadas são alteradas. De acordo com a pesquisa de Simon Kenin, especialista da SpiderLabs, sabe-se ao certo que as páginas de erro (quando uma página não é encontrada, por exemplo) são “sequestradas” para que seja fornecida uma página com a mineração.
Os equipamentos da marca MikroTik foram atacados usando uma brecha corrigida desde o mês de abril, mas muitos donos ou operadores desses equipamentos não atualizaram o software para usufruir da proteção. Dessa forma, eles continuaram vulneráveis.
O caso foi elucidado por um pesquisador de segurança que usa o nome de MalwareHunterBR no Twitter, que publicou sobre esses ataques na segunda-feira (30).
Este é pelo menos o segundo ataque em grande escala contra equipamentos da MikroTik que registra atividade no Brasil este ano. O primeiro ocorreu em março. Ambos utilizaram falhas já corrigidas, o que implica em falha dos técnicos que administram esses equipamentos e não instalaram as atualizações fornecidas pelo fabricante.