近日大规模的黑客攻击活动使超过20万的MikroTik路由器利用漏洞在网站中嵌入Coinhive脚本。根据Trustwave的Secure Web Gateway（SWG）团队的说法，感染活动主要针对巴西，但感染对象实际在全球范围内增长。“这是一个警告信息，提醒所有拥有MikroTik设备的人尽快修补漏洞，”Trustwave研究员Simon Kenin 表示。

MikroTik路由器被大型企业和互联网服务提供商使用，每天为成千上万的用户提供网页服务，这意味着每次攻击都会为攻击者带来巨大收益。团队成员Kenin认为，“攻击者很‘明智’，他们不会感染访客很少的小网站，也没有找到在最终用户计算机上运行恶意软件的复杂方法，而是直接找到源头：运营商级路由器设备。虽然加密币是这一攻击浪潮的主要目标，但攻击脚本具有持久性和灵活性，可以更改和添加新功能，从而加剧威胁。”

攻击的“成果”表明人们忽视了补丁的重要性。此次攻击活动利用了4月23日MikroTik修补的路由器中已知的漏洞，MalwareHunter在推特上展示了攻击行为所利用的漏洞，它针对Winbox，并允许攻击者获得对任何易受攻击的MikroTik路由器的未经身份验证的远程管理访问。

“初步调查表明，攻击者不是在路由器本身上运行恶意可执行文件，而是在首次发现漏洞时利用了漏洞，攻击者使用路由器的设备功能将CoinHive脚本注入用户的每个网页拜访。”

此外，研究人员发现许多被入侵的页面实际上是webproxy的错误页面，这意味着攻击者创建了一个带有CoinHive脚本的自定义错误页面。Kenin进一步解释:“如果用户在浏览网页时收到任何类型的错误页面，他们就会得到一个定制的错误页面，这个页面会为攻击者挖掘隐藏的错误。后端Apache服务器也连接到路由器，在此过程中出现错误就会显示给我。”这意味着，这也会影响那些没有直接连接到受感染路由器网络的用户，也会影响访问受感染路由器背后网站的用户。换句话说，攻击是双向的。

Trustwave的研究表明，攻击者已经建立了攻击机制，为现有的感染提供了未来的潜力。

同时，在路由器被感染时执行的命令中，为了在需要时及时更新，有一个创建计划任务。例如，他/她已经安排了一个连接到另一个主机的任务并获取一个新的“error.html”文件 - 可能是因为站点密钥被阻止而必须使用另一个替换。

攻击者还安排了一个任务，下载并执行为名为“u113.rsc”的MikroTik路由器编写的脚本,还创建了名为“ftu”的后门帐户。“当我们检查时，脚本只是用作占位符，但它显然是攻击者向所有受到攻击的设备发送附加命令的方式，”Kenin解释他注意到脚本在他调查期间正在更新。这些更新添加了更多清理命令，以减少占用空间并降低被检测的风险。

“MikroTik用户需要确保他们的RouterOS与最新的安全补丁保持同步。” Bad Packets报告的安全研究员Troy Mursch通过电子邮件说道。“否则，正如我们当前所看到的，他们可能会因为注入加密劫持恶意软件而受到攻击。犯罪分子很容易大规模地危害用户。“

幸运的是，被攻击的运营商级路由器肯定是令人担忧的，但最终用户仍有选择权。解密可以在浏览器中停止（MinerBlock扩展）并在本地防火墙（CoinBlockerLists）上被阻止。关于将CoinHive注入HTTP流量，如果请求是通过HTTPS进行的，这通常是可以避免的。这取决于被访问的网站。并非每个站点都使用HTTPS，因此用户不能简单地强制使用该选项。