Segundo o Bleeping Computer, o ataque estava concentrado no Brasil em seus estágios iniciais, quando infectou mais de 72 mil roteadores, mas depois se espalhou para o resto do mundo. O primeiro a notar o problema, aliás, foi um pesquisador de segurança brasileiro, identificado apenas como MalwareHunterBR. https://twitter.com/MalwareHunterBR/status/1023893755974352896 Para fazer o ataque, o invasor se aproveita de uma falha zero-day no RouterOS, sistema operacional dos equipamentos da MikroTik. Essa brecha foi descoberta em abril e corrigida em apenas algumas horas — mas, como de costume, muita gente não aplicou o patch de segurança e continuou vulnerável.
Quando o ataque é feito com sucesso, parte do tráfego que passa pelo roteador é interceptado para incluir um minerador de criptomoeda — com isso, o código é executado no navegador do usuário, não no roteador, que tem capacidade limitada de processamento. E o mais interessante é que o ataque funciona em qualquer direção. Como os equipamentos da MikroTik também são utilizados em ambientes corporativos, um site que estiver hospedado em um servidor cujo tráfego passe por um roteador da marca poderá ter o minerador injetado em suas páginas, independente do roteador do visitante. Para quem tem um roteador da MikroTik, a recomendação é instalar uma atualização do RouterOS o mais rápido possível.
