O malware criptominerador Lemon_Duck foi atualizado e agora mira máquinas que rodam Linux por meio de ataques de força bruta via SSH. Ele também explora a falha de segurança do Windows 10 SMBGhost, além de infectar servidores rodando instâncias Redis e Hadoop.

O malware foi encontrado no ano passado e é conhecido por ter redes de empresas como alvo, ganhando acesso ao serviço MS SQL ou ao protocolo SMB usando EternalBlue. Uma vez que o dispositivo é infectado, o malware solta um payload XMRig Monero que usa os recursos do sistema para mineração de criptomoedas.

Para encontrar dispositivos Linux infectáveis a partir dos ataques de força bruta pelo SSH, o Lemon_Duck usa um módulo de escaneamento para procurar sistemas Linux conectados à internet procurando nos 22 protocolos de controle de transmissão de dados para login remoto SSH.

Quando o malware encontra essas máquinas, ele lança um ataque via SSH, como o username root e uma lista de senhas codificadas. Se o ataque tiver sucesso, é baixado e executado um shellcode malicioso.

Para que o malware resista entre eventuais reboots do sistema, ele também adiciona uma cron job, que são tarefas executadas em períodos definidos previamente. Posteriormente, ele procura por mais dispositivos Linux para soltar payloads coletando credenciais de autenticação SSH do arquivo / .ssh/known_hosts.

shutterstock_772039471.jpgSegundo dados da Kaspersky, os ataques de criptomineradores cresceram 83% naquele ano. Entretanto em 2019 o ritmo diminuiu, segundo a Check Point Research. Imagem: Shutterstock

Liquidando competidores e diversificando vetores

Outros malwares de criptomineração são caçados pelo Lemon_Duck para que todos os recursos do sistema infectado sejam usados apenas por ele.

O criptominerador também é distribuído a vítimas em potencial por spams em larga escala que contém informações de campanhas sobre Covid-19 que usam uma vulnerabilidade do código arbitrário do CVE-2017-8570 do Microsoft Office para deixar payloads maliciosos.

Mais recentemente, os autores adicionaram um módulo que explora a vulnerabilidade do SMBGhost de execução remota o código wormable (CVE-2020-0796). Entretanto, em vez de explorar essa falha em sistemas vulneráveis, o malware usa esse módulo para coletar informações de máquinas comprometidas. Por cerca de dois meses, eles desativaram os módulos EternalBlue e Mimikatz provavelmente para medir a efetividade do módulo SMBGhost.

Depois de implantar o XMRig nas máquinas, o malware também tentará desabilitar a compressão SMBv3 e bloquear as portas SMB 445 e 135 para impedir outros de explorar as mesmas vulnerabilidades. 

Os autores também adicionaram suporte para escanear e hackear servidores rodando bases de dados Redis expostas e clusters Hadoop usando YARN.

O Lemon-Duck é um dos mais avançados malwares de criptomineração. Seus criadores atualizam o código com novos vetores e técnicas que ofuscam a detecção e o minerador em si não tem arquivos, o que significa que ele fica residente na memória e não deixa rastros no sistema de arquivos da vítima.

Fonte: Bleeping Computer