Malware LemonDuck agora remove controles de segurança

Views: 459
0 0
Read Time:2 Minute, 42 Second

Pesquisadores de segurança o descrevem como “um malware robusto e ativamente atualizado”

Nos últimos meses, o malware LemonDuck, conhecido principalmente por suas atividades de mineração de criptomoeda, adotou um comportamento mais sofisticado e intensificou suas operações. Além de suas atividades tradicionais de botnet e mineração, o malware agora vem com uma variedade de funcionalidades que permitem roubar credenciais, remover controles de segurança e por mover-se lateralmente. Ele se espalha principalmente pelo comprometimento da rede de uma organização usando a instalação de bot ou por meio de campanhas de e-mail de phishing.

Segundo recente alerta feito pela equipe da Microsoft 365 Defender Threat Intelligence, o LemonDuck evoluiu para um malware altamente sofisticado que visa organizações com vulnerabilidades antigas não corrigidas em seus sistemas e de Linux. Ele foi observado explorando um conjunto de vulnerabilidades do Microsoft Exchange — conhecido também como ProxyLogon —, que a Microsoft corrigiu em março deste ano. Essas vulnerabilidades foram exploradas pelo malware para instalar shells da web e obter acesso a sistemas desatualizados. Em seguida, os invasores usaram esse acesso para lançar ataques adicionais, ao mesmo tempo em que implantaram componentes automáticos do LemonDuck e malware.

Em alguns casos, os operadores LemonDuck usaram cópias renomeadas da ferramenta oficial de mitigação do Microsoft Exchange no local para corrigir a vulnerabilidade que eles usaram para obter acesso a fim de evitar que o sistema de destino seja acessado por botnets rivais, mineradores e malware.

Os operadores do LemonDuck usam uma série de técnicas de malware sem arquivo, incluindo persistência por meio de registro, tarefas agendadas, WMI (Windows Management Instrumentation} e pasta de inicialização, eliminando a necessidade de presença estável de malware no sistema de arquivos. Essas técnicas também incluem o uso de injeção de processo e execução na memória, o que pode tornar a remoção não trivial.

Além disso, o LemonDuck tenta desabilitar automaticamente o Microsoft Defender e outras soluções de segurança, como ESET, Kaspersky, Avast, Norton Security e MalwareBytes, e tenta desinstalar qualquer produto com “segurança” e “antivírus” no nome. Ele também aproveita uma ampla variedade de ferramentas de teste de penetração gratuitas e de código aberto, além de usar executáveis ​​e scripts personalizados, bem como renomeia e empacota ferramentas conhecidas, como XMRig e Mimikatz.

Os operadores do malware atualizam regularmente os componentes de infecção interna no LemonDuck que o malware verifica, e é conhecido por incluir exploits contra SSH, MSSQL, SMB, Exchange, RDP, REDIS e Hadoop YARN para sistemas Linux e Windows.

Claudio Bannwart, diretor regional da Check Point Software Brasil, enfatiza ações primárias sobre o LemonDuck que, entre os países atualmente afetados, estão Rússia, Alemanha, Reino Unido, Índia e China. “O retorno do malware LemonDuck nos lembra que não existe vulnerabilidade desaparecendo para sempre, pois, na verdade, muitas vezes esses malwares voltam evoluídos com a capacidade de causar mais danos. As tecnologias de segurança baseadas em assinaturas, como antivírus e sistemas de prevenção de intrusão [IPS], só podem sustentar esse número de assinaturas com base no cenário de ameaças atual. Assim, é importante que as empresas se certifiquem de que seus sistemas operacionais sejam corrigidos em tempo hábil, bem como de que devem descontinuar sistemas que usam software desatualizado ou sem manutenção, incluindo os sistemas operacionais”, alerta.

FONTE: CISO ADVISOR

POSTS RELACIONADOS