O malware criptominerador Lemon_Duck foi atualizado e agora mira máquinas que rodam Linux por meio de ataques de força bruta via SSH. Ele também explora a falha de segurança do Windows 10 SMBGhost, além de infectar servidores rodando instâncias Redis e Hadoop.
Quando o malware encontra essas máquinas, ele lança um ataque via SSH, como o username root e uma lista de senhas codificadas. Se o ataque tiver sucesso, é baixado e executado um shellcode malicioso.
Para que o malware resista entre eventuais reboots do sistema, ele também adiciona uma cron job, que são tarefas executadas em períodos definidos previamente. Posteriormente, ele procura por mais dispositivos Linux para soltar payloads coletando credenciais de autenticação SSH do arquivo / .ssh/known_hosts.
Outros malwares de criptomineração são caçados pelo Lemon_Duck para que todos os recursos do sistema infectado sejam usados apenas por ele.
O criptominerador também é distribuído a vítimas em potencial por spams em larga escala que contém informações de campanhas sobre Covid-19 que usam uma vulnerabilidade do código arbitrário do CVE-2017-8570 do Microsoft Office para deixar payloads maliciosos.
Mais recentemente, os autores adicionaram um módulo que explora a vulnerabilidade do SMBGhost de execução remota o código wormable (CVE-2020-0796). Entretanto, em vez de explorar essa falha em sistemas vulneráveis, o malware usa esse módulo para coletar informações de máquinas comprometidas. Por cerca de dois meses, eles desativaram os módulos EternalBlue e Mimikatz provavelmente para medir a efetividade do módulo SMBGhost.
Depois de implantar o XMRig nas máquinas, o malware também tentará desabilitar a compressão SMBv3 e bloquear as portas SMB 445 e 135 para impedir outros de explorar as mesmas vulnerabilidades.
Os autores também adicionaram suporte para escanear e hackear servidores rodando bases de dados Redis expostas e clusters Hadoop usando YARN.
O Lemon-Duck é um dos mais avançados malwares de criptomineração. Seus criadores atualizam o código com novos vetores e técnicas que ofuscam a detecção e o minerador em si não tem arquivos, o que significa que ele fica residente na memória e não deixa rastros no sistema de arquivos da vítima.
Fonte: Olhar Digital
Cobertura do Tereré NewsQuer ficar por dentro sobre as principais notícias de Mato Grosso do Sul, Brasil e do mundo? Siga o Tereré News nas redes sociais. Estamos no Twitter, no Facebook, no Instagram, no TikTok e no YouTube. Acompanhe!
Comunicado da Redação – Tereré News
Site de notícias em Campo Grande, aqui você encontra as últimas notícias da Capital e ainda Dourados, Três Lagoas, Corumbá, Ponta Porã, Sidrolândia, Naviraí, Nova Andradina e demais municípios de Mato Grosso do Sul. Destaque para seção de empregos e estágios, utilidade pública, publicidade legal e ainda Pantanal, Web Rádio, Saúde, Eleições 2022. Tereré News, Online desde 2017, anuncie conosco e tenha certeza de bons negócios.
Siga o Tereré News Nas Redes Sociais
Desenvolvido por Argo Soluções
Cookie | Duração | Descrição |
---|---|---|
cookielawinfo-checkbox-analytics | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Analytics". |
cookielawinfo-checkbox-functional | 11 months | The cookie is set by GDPR cookie consent to record the user consent for the cookies in the category "Functional". |
cookielawinfo-checkbox-necessary | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookies is used to store the user consent for the cookies in the category "Necessary". |
cookielawinfo-checkbox-others | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Other. |
cookielawinfo-checkbox-performance | 11 months | This cookie is set by GDPR Cookie Consent plugin. The cookie is used to store the user consent for the cookies in the category "Performance". |
viewed_cookie_policy | 11 months | The cookie is set by the GDPR Cookie Consent plugin and is used to store whether or not user has consented to the use of cookies. It does not store any personal data. |