This post is also available in: Português
LemonDuck explora a mineração de moedas e também visa vulnerabilidades mais antigas, que os sistemas de defesa podem ter esquecido – além de eliminar outros malwares rivais.
Equipamentos com Windows e Linux são os novos alvos de um malware que fez a Microsoft alertar seus clientes. Trata-se do malware de mineração e criptografia LemonDuck, que está se espalhando por meio de e-mails de phishing, exploits, dispositivos USB e ataques de força bruta. Usa também ataques direcionados a vulnerabilidades críticas do Exchange Server, que foram descobertas em março.
O grupo por trás do LemonDuck está aproveitando bugs de segurança de alto perfil, bem como explorando vulnerabilidades mais antigas durante os períodos em que as equipes de segurança estão focadas em corrigir falhas críticas atuais. Além disso, o vírus consegue até mesmo remover malwares rivais.
“Ele continua a usar vulnerabilidades mais antigas, que beneficiam os invasores às vezes, quando o foco muda para corrigir uma vulnerabilidade mais em voga ao invés de investigar o comprometimento como um todo”, observou a equipe de Inteligência de Ameaças do Microsoft 365 Defender.
Para piorar, o LemonDuck remove todos os outros invasores de um dispositivo comprometido, livrando-se do malware concorrente e evitando novas infecções. Faz isso ao corrigir as mesmas vulnerabilidades usadas para obter acesso, impedindo que outros entrem. É como um ladrão que arromba um cadeado, expulsa outros criminosos e tranca o cadeado novamente – ficando apenas ele dentro da casa invadida.
Estratégias
Os pesquisadores de malware Talos da Cisco também analisaram as atividades do grupo no Exchange. Descobriram que o LemonDuck estava usando ferramentas automatizadas para escanear, detectar e explorar servidores antes de carregar cargas úteis, como o kit de teste do Cobalt Strike – uma ferramenta famosa entre os crackers – e shells da web, permitindo que malware instale módulos adicionais.
De acordo com a Microsoft, o LemonDuck inicialmente atingiu a China, mas agora se expandiu para os EUA, Rússia, Alemanha, Reino Unido, Índia, Coréia, Canadá, França e Vietnã. Ainda não há informações sobre invasões na América do Sul, mas já se sabe que ele se concentra em empresas do setor industrial e de IoT.
Este ano, o grupo intensificou o uso de crackeamento manual após as primeiras violações, mostrando que são seletivos com seus alvos. Criaram também tarefas automatizadas para explorar o exploit Eternal Blue SMB da NSA, que vazou por crackers apoiados pela Rússia e foi usado no ataque de ransomware WannaCry de 2017.
“A tarefa foi usada para trazer a ferramenta PCASTLE e atingir alguns objetivos: abusar do exploit EternalBlue SMB, bem como usar força bruta ou passar o hash para mover-se lateralmente e começar a operação novamente. Muitos desses comportamentos são ainda observados em campanhas LemondDuck atuais”, observa a equipe de segurança da Microsoft.
Como parte de seu comportamento normal de ataque, assim que entra em um sistema com um email do Outlook configurado, o LemonDuck executa um script que utiliza as credenciais presentes no dispositivo. Esse script instrui a caixa de correio a enviar cópias de uma mensagem de phishing com mensagens predefinidas e anexos a todos os contatos. Assim, e-mails que parecem ser enviados por amigos são na verdade cópias de vírus – o que mostra o potencial destrutivo do LemonDuck. A dica então é reforçar os sistemas de segurança e redobrar a atenção com mensagens suspeitas, a fim de evitar a disseminação de um malware que preocupa até a Microsoft.
This post is also available in: Português
