Malware Lemon_Duck agora tem como alvo dispositivos Linux

pyloose-novo-malware-linux-extrai-criptografia-diretamente-da-memoria
malware linux

O malware Lemon_Duck foi atualizado para comprometer máquinas Linux por meio de ataques de força bruta SSH e para infectar servidores que executam instâncias de Redis e Hadoop.

O Lemon_Duck é conhecido por ter como alvo redes corporativas, obtendo acesso através do serviço MS SQL via força bruta ou protocolo SMB usando EternalBlue.

Malware Lemon_Duck tem como alvo o Linux

Depois de infectar um dispositivo com sucesso, o malware descarta uma carga útil do minerador de CPU XMRig Monero (XMR) que usa os recursos do sistema comprometido para minerar criptomoedas para os operadores do Lemon_Duck.

O malware Lemon_Duck foi atualizado para comprometer máquinas Linux por meio de ataques de força bruta SSH.

Para encontrar dispositivos Linux que pode infectar, o Lemon_Duck usa um módulo de varredura de porta que procura por sistemas Linux conectados à internet ouvindo na porta TCP 22 usada para login remoto SSH.

Nesse sentido, o pesquisador de segurança da Sophos, Rajesh Nataraj, disse em um relatório:

Quando ele os encontra, ele lança um ataque SSH de força bruta a essas máquinas, com o nome de usuário root e uma lista de senhas codificada. Se o ataque for bem-sucedido, os invasores baixam e executam um código de shell malicioso.

Para se certificar de que também sobreviverá entre as reinicializações do sistema, o malware também tentará adicionar um cron job. Em seguida, o malware procura mais dispositivos Linux.

Depois de implantar o minerador XMRig em dispositivos comprometidos, o malware também tentará: desabilitar a compactação SMBv3; e bloquear as portas 445 e 135 SMB para impedir que outros explorem os sistemas infectados.

Além disso, os autores do Lemon_Duck adicionaram suporte para varredura e invasão em servidores que executam bancos de dados Redis expostos e clusters Hadoop.

Por fim, Rajesh explicou:

O criptominer Lemon Duck é um dos tipos mais avançados […] que vimos.

Seus criadores atualizam continuamente o código com novos vetores de ameaças e técnicas de ofuscação para evitar a detecção.

Fonte: Bleeping Computer

Malware Lucifer agora tem como alvo sistemas Linux

Malware Emotet volta a atacar após cinco meses de ausência

FBI e NSA descobrem novo malware Linux chamado Drovorub

EUA acusam hackers chineses de usar o Taidoor Malware

Acesse a versão completa
Sair da versão mobile