這次密幣劫持活動似乎始于本周，而且在第一階段中主要活躍于巴西，但隨后開始針對位于全球的 MikroTik 路由器。

最先發(fā)現(xiàn)攻擊的是一位推特昵稱為 MalwareHunterBR 的巴西研究員，但隨著受影響的路由器數(shù)量越來越多，也引發(fā)了Trustwave 公司SpiderLabs 研究員 Simon Kenin 的注意。

Trustwave 發(fā)布報告稱，一名或多名黑客似乎在攻擊的第一階段似乎已攻陷位于巴西的7.2萬臺左右的 MikroTik 路由器。

Kenin 指出，攻擊者利用的是于4月份發(fā)現(xiàn)的 MikroTik 路由器 Winbox 組件的 0day 漏洞。雖然當時 MikroTik 在不到一天的時間里就修復了該漏洞，但這并不意味著路由器所有人打上補丁。安全研究員已詳細分析了該漏洞，并在 GitHub 上公開發(fā)布 PoC。

黑客利用 MikroTik 0day 漏洞

Kenin 指出，攻擊者使用其中的一個 PoC 修改通過 MikroTik 路由器的流量，并將 Coinhive 庫的副本注入路由器處理的所有頁面。

由于攻擊者在上周所有的 Coinhive 注入操作中只使用了一個 Coinhive 密鑰，因此推斷利用該缺陷的人員只有一名。

另外，Kenin 指出，他還發(fā)現(xiàn)某些非 MikroTik 用戶也受影響。他指出由于某些互聯(lián)網(wǎng)服務提供商的主網(wǎng)使用了 MikroTik 路由器，因此攻擊者設法將惡意 Coinhive 代碼注入大量 web 流量中。

另外，Kenin 指出，由于攻擊執(zhí)行方法不同，因此不一定將惡意代碼只注入流入用戶的流量。例如，如果某網(wǎng)站托管在使用受感染 MikroTik 路由器的本地網(wǎng)絡上，那么流向網(wǎng)站的流量也被注入惡意 Coinhive 代碼。

黑客變得更加謹慎

但在如此多的流量中注入 Coinhive 非常嘈雜而且惹惱用戶，從而引發(fā)用戶和互聯(lián)網(wǎng)服務提供商調(diào)查問題來源。

攻擊者似乎也認識到了這個問題，Kenin 表示在最近的攻擊活動中，黑客轉(zhuǎn)變策略，只注入由路由器返回的出錯頁面中的 Coinhive 腳本。但縮小攻擊面并不意味著攻擊降級。Trustwave 公司的研究員表示，近期發(fā)現(xiàn)攻擊傳播至巴西之外的地方，而且目前攻擊數(shù)量已是原來的兩倍，已在超過17萬臺 MikroTik 路由器中增加了 Coinhive 注入。

Kenin 在說到攻擊的嚴重程度時表示，全球互聯(lián)網(wǎng)服務提供商和多種組織機構(gòu)和企業(yè)使用數(shù)萬臺設備，每臺設備每天為數(shù)十名甚至數(shù)百名用戶服務。攻擊者很聰明地認為，不選擇訪客少的小型網(wǎng)站而是找到復雜方式在終端用戶計算機上運行惡意軟件，就能直接觸及源頭；運營商級別的路由器設備。即使這種攻擊僅在返回出錯信息的頁面上起作用，但攻擊者每天感染的網(wǎng)頁數(shù)量可能在數(shù)百萬級別。

攻擊范圍有可能擴大

從 Shodan 物聯(lián)網(wǎng)引擎搜索得知，網(wǎng)上存在170多萬臺 MikroTik 路由器。安全研究員 Troy Mursch 表示，他發(fā)現(xiàn) MikroTik 路由器的流量中被注入第二個 Coinhive 密鑰。這一惡意活動觸及超過2.5萬臺，使得受感染設備超過20萬臺。目前尚不清楚該活動是否由同一個攻擊者發(fā)動，還是由同一名攻擊者在發(fā)現(xiàn) Trustwave 發(fā)布的報告之后重新發(fā)動的攻擊。