Malware maakt proxyserver van ongepatchte MikroTik-routers

[Captain Kirk]

Onderzoekers hebben malware ontdekt die zowel Windowssystemen als MikroTik-routers aanvalt. De malware wordt door antivirusbedrijf Trend Micro Glupteba en verspreidt zich via social engineering. De makers van de malware maken namelijk gebruik van malafide advertenties op downloadsites.

Deze advertenties bieden een download aan die in werkelijkheid de malware is. Zodra de gebruiker het gedownloade bestand opent worden er allerlei gegevens uit Chrome, Opera en de Yandex-browser gestolen, zoals cookies, browsegeschiedenis, gebruikersnamen en wachtwoorden. Daarnaast probeert de malware vanaf het besmette systeem MikroTik-routers in het lokale netwerk aan te vallen.

Hiervoor maakt de malware gebruik van een kwetsbaarheid in Winbox die vorig jaar april door MikroTik werd gepatcht. Via het beveiligingslek kan er toegang tot de gebruikersdatabase en zodoende het beheerderswachtwoord worden verkregen. Het wachtwoord wordt vervolgens naar de aanvallers gestuurd. Vervolgens worden verschillende services zoals Telnet en Winbox op de router uitgeschakeld. Dit wordt waarschijnlijk gedaan om te voorkomen dat andere aanvallers de router via dezelfde kwetsbaarheid overnemen, zo stellen de onderzoekers. Als laatste wordt de router als proxy ingesteld om kwaadaardig verkeer door te sturen, zoals spam.

"Bij het instellen van routers moet security de hoogste prioriteit krijgen", zegt onderzoeker Jaromir Horejsi van Trend Micro. "De meeste apparaten in woningen en kantoren zijn met deze apparaten verbonden en kunnen worden getroffen wanneer een router is gecompromitteerd."

 

 

bron: security.nl