A Microsoft revelou informação sobre como a botnet Trickbot utiliza routers da MikroTik para esconder a sua actividade.
A rede Trickbot tem sido uma das mais activas na última década, e agora investigadores da MS revelaram porque motivo esta botnet tem preferência por routers MikroTik. O malware tenta controlar routers MikroTik usando passwords default ou populares, e depois tira partido do sistema dos mesmos para servirem de intermediários para que os dispositivos infectados comuniquem com os servidores de comando.
Deste modo os computadores infectados não se ligam directamente a esses servidores, mas apenas aos routers (também infectados) na rede local, dificultando a localização dos servidores controlados pelos atacantes.
Este caso vem relembrar a necessidade de não só se manter um olhar atento sobre os computadores de uma rede, mas também os próprios equipamentos de rede, em especial os routers.
A MS disponibilizou uma ferramenta open-source para ajudar a detectar se um router MicroTik está infectado por este malware, mas é recomendado que todos os utilizadores regularmente vigiem as configurações dos seus routers para verem se não foram alteradas com coisas como: novos utilizadores desconhecidos; novas regras de reencaminhamento de tráfego; etc. Algo que infelizmente poderá não ser muito apetecível para a maioria dos utilizadores.
Sem comentários:
Enviar um comentário (problemas a comentar?)