Một botnet khổng lồ với khoảng 13.000 router MikroTik bị chiếm quyền kiểm soát đang được sử dụng để phát tán email độc hại (malspam) trên toàn cầu. Botnet này khai thác các lỗi cấu hình DNS, đặc biệt trong Sender Policy Framework (SPF), để gửi email giả mạo từ các domain hợp lệ, phát tán phần mềm độc hại và tiến hành các cuộc tấn công mạng.
Botnet giả mạo email từ các công ty vận chuyển như DHL, với tệp đính kèm dạng zip chứa mã JavaScript. Khi mở tệp, mã này sẽ thực thi lệnh PowerShell, kết nối nạn nhân tới máy chủ Command-and-Control (C2) liên quan đến hoạt động đáng ngờ tại Nga.
Các router MikroTik bị xâm nhập biến thành proxy ẩn danh, che giấu nguồn gốc tấn công. Những thiết bị này được tận dụng để phát tán mã độc qua email độc hại, đánh cắp dữ liệu từ người dùng và mở rộng quy mô phishing, khiến việc truy vết trở nên khó khăn.
Người dùng cần kiểm tra kỹ cấu hình DNS, đặc biệt các bản ghi SPF, và cập nhật firmware mới nhất cho router MikroTik để tránh bị khai thác.
