O malware Lemon_Duck foi atualizado para comprometer máquinas Linux por meio de ataques de força bruta SSH e para infectar servidores que executam instâncias de Redis e Hadoop.
O Lemon_Duck é conhecido por ter como alvo redes corporativas, obtendo acesso através do serviço MS SQL via força bruta ou protocolo SMB usando EternalBlue.
Malware Lemon_Duck tem como alvo o Linux
Depois de infectar um dispositivo com sucesso, o malware descarta uma carga útil do minerador de CPU XMRig Monero (XMR) que usa os recursos do sistema comprometido para minerar criptomoedas para os operadores do Lemon_Duck.
Para encontrar dispositivos Linux que pode infectar, o Lemon_Duck usa um módulo de varredura de porta que procura por sistemas Linux conectados à internet ouvindo na porta TCP 22 usada para login remoto SSH.
Nesse sentido, o pesquisador de segurança da Sophos, Rajesh Nataraj, disse em um relatório:
Quando ele os encontra, ele lança um ataque SSH de força bruta a essas máquinas, com o nome de usuário root e uma lista de senhas codificada. Se o ataque for bem-sucedido, os invasores baixam e executam um código de shell malicioso.
Para se certificar de que também sobreviverá entre as reinicializações do sistema, o malware também tentará adicionar um cron job. Em seguida, o malware procura mais dispositivos Linux.
Depois de implantar o minerador XMRig em dispositivos comprometidos, o malware também tentará: desabilitar a compactação SMBv3; e bloquear as portas 445 e 135 SMB para impedir que outros explorem os sistemas infectados.
Além disso, os autores do Lemon_Duck adicionaram suporte para varredura e invasão em servidores que executam bancos de dados Redis expostos e clusters Hadoop.
Por fim, Rajesh explicou:
O criptominer Lemon Duck é um dos tipos mais avançados […] que vimos.
Seus criadores atualizam continuamente o código com novos vetores de ameaças e técnicas de ofuscação para evitar a detecção.
Fonte: Bleeping Computer
