Microsoft explica como malware minerador de Bitcoin se tornou tão persistente
Por Felipe Gugelmin | Editado por Claudio Yuge | 30 de Julho de 2021 às 21h00
Capaz de infectar tanto sistemas Windows quanto Linux, o malware conhecido como LemonDuck chamou a atenção da Microsoft por sua persistência. Em uma análise mais aprofundada divulgada nesta sexta-feira (30), ela mostra que o grupo responsável usa uma série de ferramentas, truques e brechas para garantir a exclusividade de seu malware, que expulsa outros invasores dos alvos afetados.
- Windows e Linux são atacados por malware "egoísta" que expulsa concorrentes
- Agência de segurança dos EUA lança guia rápido de segurança para trabalho remoto
- Ciberataques aumentaram 29% no 1º semestre e continuam em alta
Enquanto o LemonDuck em si não se difere muito de outros mineradores de criptomoedas indesejados (cryptojacking), ele atua de forma egoísta com as redes que compromete. Além de expulsar outras ameaças, o malware remove as brechas de segurança que usou para se infiltrar em sistemas e desabilita o funcionamento de proteções contra ameaças.
“Isso permite que eles limitem a visibilidade do ataque por analistas dentro de uma organização que podem estar dando prioridade a dispositivos desatualizados, ou que ignorariam dispositivos que não possuem uma grande quantidade de malware”, explica a Microsoft. Segundo a empresa, o principal método de ataque da gangue responsável são as falhas do ProxyLogon do Microsoft Exchange Server descobertas em março e abril deste ano.
Em alguns casos, a empresa afirma que os criminosos inseriram o LemonDuck dentro de uma versão renomeada do Microsoft Exchange On-Premises Mitigation Tool, uma ferramenta lançada por ela para corrigir as falhas. “Eles fizeram isso enquanto mantiveram acesso total aos dispositivos comprometidos, limitando outros atores de abusar das mesmas vulnerabilidades do Exchange”.
Táticas para garantir a permanência
Os operadores do malware também usam técnicas de malwares sem arquivos, que incluem modificações de registro, tarefas agendas, pastas de inicialização e a Instrumentação de Gerenciamento de Windows para garantir sua presença constante no sistema. Segundo a Microsoft, esse comportamento está cada vez mais comuns entre trojans, e é necessário que times de segurança revisem suas rotinas de resposta a incidentes para assegurar que malwares sejam totalmente removidos.
Outro ponto que facilita a permanência constante do LemonDuck é o fato de ele usar scripts de download do PowerShell, que podem persistir mesmo após a aplicação de patches de segurança. Como a hospedagem dos arquivos maliciosos é feita em diversos endereços, os criminosos conseguem garantir que eles continuem sendo transferidos mesmo que algum link seja derrubado.
Além de assegurar sua existência dentro da máquina afetada, o LemonDuck é capaz de localizar instalações válidas do Outlook. Quando isso acontece, o malware inicia o envio de mensagens para a lista de contatos do alvo com arquivos .zip, .js e .doc/.rts que garantem sua propagação. Segundo a Microsoft, em alguns casos os atacantes fazem a reentrada manual em sistemas afetados, especialmente se vulnerabilidades de borda foram usados como ponto inicial do ataque.
Em resumo, embora o LemonDuck possa ser um minerador de criptomoedas que drena recursos da CPU como tantos outros, seus criadores trabalharam duramente para garantir que ele permanece nos sistemas que afeta. Em sua análise, a Microsoft traz uma série de fatores que ajudam a detectar e eliminar a ameaça, mas alerta que isso demanda um trabalho cuidadoso e que, se uma única brecha for deixada em aberto, há a certeza do retorno da ameaça.