En noticias recientes sobre ciberseguridad, Infoblox Threat Intel descubrió una red de bots que afectaba a 13.000 dispositivos MikroTik. La botnet explotaba vulnerabilidades en las configuraciones de registros DNS SPF para eludir las defensas de correo electrónico. Tras la explotación, la botnet suplantó unos 20.000 dominios web para propagar malware.
Puntos clave
- Una botnet comprometió miles de dispositivos MikroTik para lanzar campañas de malspam.
- La explotación se produjo como resultado de la permisividad de SPF utilizadas por varios dominios.
- El resultado fue un ataque generalizado de suplantación de identidad, con archivos adjuntos cargados de malware.
- Las principales lecciones aprendidas incluyen evitar configuraciones SPF permisivas, comprobar los registros DNS con regularidad y utilizar servicios SPF alojados con macros.
Por qué las botnets son una amenaza persistente
Las botnets son una red de dispositivos comprometidos manipulados y controlados por actores de amenazas, de forma remota. Las botnets han sido una amenaza persistente para la ciberseguridad durante años. Su naturaleza ampliamente distribuida las convierte en un vector fácil para la propagación de actividades maliciosas a gran escala.
Las botnets han sido responsables de lo siguiente en el pasado:
- Ataques distribuidos de denegación de servicio(DDoS)El objetivo de los ataques DDoS es saturar la red de un objetivo y bloquear los servicios o distraer a los defensores.
- Campañas de spam y phishingLas campañas de spam y phishing inundan las bandejas de entrada con mensajes maliciosos para robar información confidencial o propagar programas maliciosos.
- Relleno de credenciales para automatizar los intentos de inicio de sesión con credenciales robadas.
- Robo de datos que extrae datos personales o corporativos con fines lucrativos o ataques posteriores.
- Cryptojackinges el secuestro de recursos del dispositivo para minar criptomonedas.
- Redes proxy y fraude de clicsEl fraude del clic es el acto de ocultar la ubicación de los atacantes y defraudar a los anunciantes.
En la reciente campaña de spam de malware descubierta por Infoblox, las redes de bots utilizaron más de 13.000 routers MikroTik comprometidos. Se trata de una preocupación creciente para el sector de la ciberseguridad.
Anatomía de una campaña de malware
Spam de facturas de flete
A finales de noviembre de 2024, el inicio de la campaña comenzó cuando Infoblox descubrió una campaña de spam de facturas. Se enviaron correos electrónicos de spam, haciéndose pasar por facturas de envío de DHL, con archivos Z IP que contenían cargas maliciosas de JavaScript. Los archivos archivos ZIP adjuntos tenían convenciones de nomenclatura consistentes como:
- Factura (número de 2-3 dígitos).zip
- Seguimiento (número de 2-3 dígitos).zip
Análisis de la carga útil
Los archivos ZIP, también conocidos como archivos JavaScript, ejecutaban scripts Powershell. Estos se conectaban a un servidor de mando y control (C2) de malware alojado en una dirección IP sospechosa. La dirección IP tenía un historial de actividades maliciosas previas en la web. De este modo, la botnet creó una red que inició una cadena de distribución de malware troyano.
¿Cómo se vieron comprometidos los routers MikroTik?
Según la investigación de Infoblox, más de 13.000 routers MikroTik fueron secuestrados por la botnet. Estos routers estaban configurados como proxies SOCKS. Esto enmascaraba su origen, haciéndolos inidentificables.
Los routers MikroTik eran un objetivo fácil para la botnet debido a sus vulnerabilidades críticas inherentes:
- Los routers tienen un fallo de ejecución remota de código que es fácilmente explotable con acceso autenticado.
- El despliegue de proxies SOCK permitió a los actores de la amenaza ocultar sus identidades originales.
- Varios dispositivos se enviaron con cuentas "admin" por defecto, que contenían contraseñas en blanco.
Papel de los errores de configuración de SPF en la campaña de Malspam
Los servidores de correo receptores autentican la legitimidad de los remitentes de correo electrónico a través de los registros TXT de DNS. El registro SPF o Sender Policy Framework es un ejemplo de ello. Sin embargo, los registros SPF permisivos en miles de dominios remitentes proporcionaron el resquicio que los atacantes necesitaban para eludir las comprobaciones de autenticación.
Ejemplo de registros SPF mal configurados
Un ejemplo de registro SPF no permisivo es el siguiente:
v=spf1 include:ejemplo.dominio.com -all
Este ejemplo permite que sólo los servidores especificados envíen correos electrónicos en nombre de un dominio. Los dominios que no estén explícitamente autorizados fallarán SPF.
Un ejemplo de registro SPF permisivo es el siguiente:
v=spf1 include:ejemplo.dominio.com +all
El ejemplo anterior permite a cualquier servidor enviar correos electrónicos en nombre de un dominio, lo que permite la suplantación de identidad. Infloblox identificó el uso de configuraciones SPF permisivas como estas para lanzar las campañas maliciosas.
Comprobación de las configuraciones SPF para evitar la explotación
Puede comprobar las configuraciones SPF de su dominio utilizando cualquiera de los siguientes métodos:
Búsquedas manuales
Los propietarios de dominios pueden consultar los registros SPF mediante los comandos NSlookup o Dig:
- En Linux/MacOS: dig +short txt ejemplo.com | grep spf
- En Windows: nslookup -type=txt ejemplo.com | Select-String -Pattern "spf"
Búsquedas automáticas
Una forma más sencilla de comprobar las configuraciones de DNS SPF es utilizar la herramienta de comprobación SPF de PowerDMARC herramienta de comprobación SPF.
- Introduzca su nombre de dominio en la caja de herramientas (por ejemplo, dominio.com)
- Pulse el botón "Buscar
- Revise sus resultados
¡Así de fácil! Esta es una forma sencilla e instantánea de comprobar SPF sin ejecutar un script o comando Powershell y no requiere conocimientos técnicos.
Nota final: Lecciones aprendidas
La capacidad de la red de bots para aprovechar las vulnerabilidades de DNS y lanzar sofisticados ataques de suplantación de identidad pone de relieve la necesidad de seguir las mejores prácticas de seguridad del correo electrónico:
- Los propietarios de dominios deben auditar periódicamente los registros DNS para garantizar que se cumplen los requisitos de SPF, DKIM y DMARC correctas.
- Los propietarios de dominios deben abstenerse de utilizar políticas SPF o políticas DMARC durante largos periodos de tiempo.
- Elimine o proteja las cuentas de administrador predeterminadas de los dispositivos.
- Activar Informes DMARC para supervisar el tráfico de correo electrónico y detectar accesos no autorizados.
- Y lo que es más importante, utilice servicios de optimización de macros SPF como Hosted SPF para corregir errores y puntos débiles de SPF, y cumplir con las limitaciones de búsqueda DNS de SPF fácilmente.
El descubrimiento de los exploits de la red de bots MikroTik es un testimonio de la creciente preocupación por los ciberataques sofisticados. Para mantenerse protegidas, las empresas deben actualizar su pila de seguridad para allanar el camino a las modernas tecnologías de ciberseguridad respaldadas por IA. Esto les permitirá navegar por el panorama de las amenazas sin problemas y sin sufrir daños.
- Yahoo Japón recomienda la adopción de DMARC para los usuarios en 2025 - 17 de enero de 2025
- La botnet MikroTik aprovecha los errores de configuración de SPF para propagar malware - 17 de enero de 2025
- El correo no autenticado DMARC está prohibido [SOLUCIONADO] - 14 de enero de 2025