Эксперты французской компании SEKOIA выявили масштабную мошенническую кампанию, в которой злоумышленники используют промышленные сотовые маршрутизаторы Milesight для отправки фишинговых SMS. Атаки нацелены на пользователей в Европе и ведутся, как минимум, с февраля 2022 года. Основными регионами поражения стали Швеция, Италия и Бельгия, где сообщения с вредоносными ссылками распространяются от имени якобы официальных сервисов — банков, телеком-операторов и государственных платформ, таких как eBox и CSAM.
По данным SEKOIA, злоумышленники получают доступ к открытому API маршрутизаторов Milesight и используют его для отправки SMS. В некоторых случаях этот интерфейс не требует аутентификации, что позволяет использовать устройства как инструмент массовой доставки вредоносных сообщений. Всего в открытом доступе было обнаружено около 18 000 таких маршрутизаторов, из которых 572 потенциально уязвимы, половина — на территории Европы.
Инженеры подчеркнули, что используемый API даёт злоумышленникам доступ как к исходящим, так и к входящим сообщениям, что может быть использовано для отслеживания, анализа откликов и масштабирования атак. Примечательно, что никаких попыток установить на устройства бэкдоры или другие вредоносные модули не зафиксировано. Это указывает на узконаправленную эксплуатацию уязвимости с целью организации SMS-фишинга (смишинга).
В основе схемы лежит использование уязвимости CVE-2023-43261, получившей оценку 7,5 по шкале CVSS. О её существовании в октябре 2023 года сообщил исследователь Бипин Джития, а чуть позже компания VulnCheck подтвердила вероятность её активной эксплуатации. Несмотря на то что уязвимость была формально устранена в обновлённой прошивке, многие устройства до сих пор работают на старых версиях с ошибками конфигурации, из-за которых API остаётся открытым.
SEKOIA выявила, что хакеры используют предварительную фазу сканирования: они тестируют маршрутизаторы на возможность отправки SMS, используя контролируемые номера. После успешного определения подходящих устройств начинается массовая рассылка вредоносных сообщений.
Фишинговые ссылки в сообщениях ведут на поддельные страницы, которые проверяют, открыта ли ссылка с мобильного устройства. Если да, пользователь перенаправляется на ресурс с вредоносным JavaScript, который побуждает ввести банковские данные якобы для получения компенсации или подтверждения личности.