Nova botnet utiliza routers e falhas de DNS para campanhas globais de spam

Investigadores da Infoblox detetaram uma campanha botnet que combina dispositivos de rede sequestrados e falhas de DNS para impulsionar operações massivas de spam. Mais de 13 mil routers MikroTik comprometidos funcionam como proxies SOCKS4, permitindo que emails maliciosos passem despercebidos por filtros tradicionais e cheguem às caixas de entrada empresariais.

A campanha começou com o envio de emails que pareciam faturas de transporte legítimas e cada um continha um arquivo ZIP com um um script JavaScript malicioso. Quando executado, este script inicia um carregador em PwerShell que se conecta a um servidor de comando e controlo (C2) com histórico de ligações a agentes de ameaças russos.

A botnet não explora uma vulnerabilidade específica, mas sim configurações padrão ou mal protegidas dos routers MikroTik. Ao mesmo tempo, a campanha abusa de registos DNS mal configurados, incluindo SPF, DKIM e DMARC, o que permite que mensagens sejam enviadas em nome de domínios legítimos. Muitos proprietários de domínios, inadvertidamente ou por alterações maliciosas, permitiram que qualquer servidos de email enviasse mensagens em seu nome, o que acabou por facilitar a falsificação de centenas de domínios.

A cadeia de infeção inicia com o JavaScript ofuscado que, ao ser executado, grava e dispara o carregador do PowerShell. Este verifica políticas de execução e contorna restrições com o comando Set-ExecutionPolicy Bypass -Scope Process. Para manter a persistência, o malware cria uma tarefa agendada chamada “Updater”, garantindo que a carga continue ativa mesmo após reinicializações, enquanto o tráfego é encaminhado através dos proxies SOCKS4 do botnet.