Microsoft ha publicado esta semana una herramienta de código abierto que puede utilizarse para proteger los routers MikroTik y comprobar si hay signos de abuso asociados al malware Trickbot.

TrickBot es un malware que existe desde 2016. Inicialmente era un troyano bancario diseñado para robar datos financieros, pero ha evolucionado hasta convertirse en un ladrón modular que puede dirigirse a una amplia gama de información.

Algunos investigadores creen que el malware ha alcanzado sus límites -la gran cantidad de IoCs disponibles lo hacen fácil de detectar- y que su equipo de desarrollo ha sido «adquirido» por el conocido grupo de ransomware Conti.

Sin embargo, el malware parece estar operativo, ya que algunas empresas de ciberseguridad siguen viendo importantes campañas dirigidas a los clientes de decenas de empresas de alto perfil.

Los operadores de Trickbot llevan mucho tiempo abusando de los routers MikroTik para fines de comando y control (C&C), aprovechándolos como proxies para los servidores de C&C en un esfuerzo por evadir la detección. El abuso de los productos MikroTik por parte de Trickbot se puso de manifiesto en 2020, después de que el malware sobreviviera a un intento de desmantelamiento dirigido por Microsoft.

Microsoft dice ahora que sus investigadores han determinado exactamente cómo se abusa de los routers MikroTik y el gigante tecnológico ha creado una herramienta que puede utilizarse para comprobar estos dispositivos en busca de signos de hackeo relacionados con Trickbot.

Según Microsoft, los atacantes primero comprometen los routers MikroTik, normalmente utilizando contraseñas por defecto, a través de ataques de fuerza bruta, o explotando una antigua vulnerabilidad para leer un archivo que contiene contraseñas.

«A continuación, los atacantes emiten un comando único que redirige el tráfico entre dos puertos del router, estableciendo la línea de comunicación entre los dispositivos afectados por Trickbot y el C2», explicó Microsoft. «Los dispositivos MikroTik tienen un hardware y un software únicos, RouterBOARD y RouterOS. Esto significa que para ejecutar un comando de este tipo, los atacantes necesitan tener experiencia en los comandos de shell SSH de RouterOS».

La herramienta de código abierto puesta a disposición por Microsoft esta semana se ha denominado RouterOS Scanner y se ha descrito como una herramienta forense para dispositivos MikroTik. La herramienta puede buscar debilidades y propiedades sospechosas que podrían indicar que el dispositivo ha sido comprometido.

En concreto, la herramienta comprueba la versión del dispositivo y la relaciona con las vulnerabilidades conocidas. También busca tareas programadas, reglas de redirección de tráfico, envenenamiento de la caché de DNS, cambios en los puertos por defecto, usuarios no predeterminados, archivos sospechosos, así como reglas de proxy, SOCKS y cortafuegos.

El código fuente de la herramienta está disponible en GitHub.