Mês: Setembro 2020

O malware Lemon_Duck cryptominer agora tem como alvo dispositivos Linux

O malware criptominerante Lemon_Duck foi atualizado para comprometer máquinas Linux por meio de ataques de força bruta SSH, para explorar sistemas Windows vulneráveis ​​a SMBGhost e para infectar servidores que executam instâncias de Redis e Hadoop.

Lemon_Duck (identificado no ano passado pela Trend Micro e examinado posteriormente pela SentinelOne ) é conhecido por ter como alvo redes corporativas, obtendo acesso sobre o serviço MS SQL por meio de força bruta ou o protocolo SMB usando EternalBlue de acordo com Ophir Harpaz da Guardicore.

Procurando por Linux e aplicativos em nuvem: Para encontrar dispositivos Linux que se podem infectar como parte de ataques de força bruta SSH, Lemon_Duck usa um módulo de varredura de porta que procura por sistemas Linux conectados à Internet escutando na porta TCP 22 usada para login remoto SSH. Para se certificar de que também sobreviverá entre as reinicializações do sistema, o malware tentará ganhar persistência adicionando um cron job, em seguida, Lemon_Duck procura mais dispositivos Linux para descartar payloads coletando credenciais de autenticação SSH do arquivo /.ssh/known_hosts.

Fonte: Bleepin

Malware TrickBot agora está infectando sistemas Linux / UNIX

A plataforma de malware Anchor do TrickBot foi portada para infectar dispositivos Linux e comprometer ainda mais alvos de alto impacto e alto valor usando canais secretos.

O TrickBot é alugado por agentes de ameaças que o usam para se infiltrar em uma rede e colher qualquer coisa de valor. Em seguida, ele é usado para implantar ransomware, como Ryuk e Conti, para criptografar os dispositivos da rede como um ataque final.

Chamado Anchor_DNS, o malware é usado em alvos de alto valor e alto impacto com informações financeiras valiosas.
Além das implantações de ransomware por meio de infecções do Anchor, os autores do TrickBot Anchor também o usam como backdoor em campanhas do tipo APT que têm como alvo sistemas de ponto de venda e financeiros.

Com esta evolução do malware TrickBot, é cada vez mais importante que os sistemas Linux e dispositivos IoT tenham proteção e monitoramento adequados para detectar ameaças como Anchor_Linux

Fonte: Bleeping

Malware Lucifer cryptomining DDoS agora tem como alvo sistemas Linux

Uma botnet DDoS híbrido conhecido por transformar dispositivos Windows vulneráveis ​​em bots de criptominação Monero agora também está procurando e infectando sistemas Linux.

Lucifer cryptomining para Linux vem com recursos semelhantes aos do Windows, incluindo módulos projetados para criptojacking e para lançar ataques baseados em TCP, UCP e ICMP

Além disso, os dispositivos Linux infectados por Lucifer também podem ser usados ​​em ataques DDoS baseados em HTTP (incluindo inundações HTTP GET e POST e ataques DDoS HTTP ‘CC’)

A lista completa de ataques DDoS que podem ser iniciados usando dispositivos infectados pelo Lucifer está disponível na tabela abaixo.

Fonte: Bleeping