Criptominerador potente é atualizado para atacar Linux

O malware criptominerador Lemon_Duck foi atualizado e agora mira máquinas que rodam Linux por meio de ataques de força bruta via SSH. Ele também explora a falha de segurança do Windows 10 SMBGhost, além de infectar servidores rodando instâncias Redis e Hadoop.

O malware foi encontrado no ano passado e é conhecido por ter redes de empresas como alvo, ganhando acesso ao serviço MS SQL ou ao protocolo SMB usando EternalBlue. Uma vez que o dispositivo é infectado, o malware solta um payload XMRig Monero que usa os recursos do sistema para mineração de criptomoedas.

Para encontrar dispositivos Linux infectáveis a partir dos ataques de força bruta pelo SSH, o Lemon_Duck usa um módulo de escaneamento para procurar sistemas Linux conectados à internet procurando nos 22 protocolos de controle de transmissão de dados para login remoto SSH.

Quando o malware encontra essas máquinas, ele lança um ataque via SSH, como o username root e uma lista de senhas codificadas. Se o ataque tiver sucesso, é baixado e executado um shellcode malicioso.

Para que o malware resista entre eventuais reboots do sistema, ele também adiciona uma cron job, que são tarefas executadas em períodos definidos previamente. Posteriormente, ele procura por mais dispositivos Linux para soltar payloads coletando credenciais de autenticação SSH do arquivo / .ssh/known_hosts.

Fonte: olhardigital