Windows e Linux são atacados por malware "egoísta" que expulsa concorrentes

Enquanto malwares geralmente visam um único sistema operacional como seus alvos, essa não é uma regra que é seguida por todos eles. Na última quinta-feira (22), a Microsoft emitiu um alerta sobre o LemonDuck, ferramenta maliciosa que faz a mineração de criptomoedas (o chamado cryptojacking) que é capaz de afetar tanto quem usa o Windows quanto o Linux.

• Malware popular no Windows agora começa a infectar Macs
• Não baixe estes apps na Play Store: malware volta a burlar segurança do Android
• Malware que rouba senhas do Windows se espalha em anúncios pagos de buscadores

A ameaça se espalha por meio de downloads que acompanham e-mails enganosos que prometem novidades sobre a COVID-19 (phishing), dispositivos USB infectados, ataques de força bruta e outras brechas de segurança. Segundo a empresa, ela também se aproveita de falhas do Exchange Server descobertas em março deste ano para infectar as máquinas dos alvos.

A Microsoft explica que o LemonDuck (também chamado por ela de LemonCat) se espalha usando vulnerabilidades antigas e que não estão dentro do radar de pesquisadores de segurança. Outro ponto interessante é o fato de a ameaça corrigir as brechas que usou para se infiltrar em um dispositivo, evitando a presença de malwares concorrentes — caso eles existam, são eliminados da máquina, que também tem suas proteções contra infecções desabilitadas.

Segundo o grupo de pesquisa Cisco Talos, o malware usa ferramentas automáticas para analisar, detectar e explorar servidores suscetíveis a ataques e também é capaz de baixar pacotes adicionais como o Cobalt Strike. Normalmente associada a ataques de ransomware (que bloqueiam sistemas e pedem resgastes), a ferramenta garante a movimentação lateral, que resulta na infecção de outros aparelhos conectados à mesma rede.

Malware usa a mesma estrutura do WannCry

A análise da Microsoft mostra que o LemonDuck iniciou sua ação na China, mas já foi detectado em países como Rússia, Estados Unidos, Alemanha, Reino Unido, Índia, Coreia do Sul, França e Vietnã. Focado em corporações dos setores da internet das coisas (IoT) e da manufatura, o grupo responsável é seletivo em seus ataques e também se aproveita doexploit Eternal Blue SMB — que possibilitou o espalhamento do WannCry em 2017 — para infectar sistemas desprotegidos.

A empresa também explica que, assim que toma conta de um sistema, o malware tenta rodar um script que usa as credenciais presentes nele para enviar mensagens através do Outlook. Com isso, a vítima acaba espalhando a ameaça para sua lista de contatos, que são convencidos a baixá-la usando temas como o novo coronavírus (SARS-CoV-2), despedidas falsas, reclamações sobre arquivos quebrados e confirmações de pedidos.

Para se proteger, a Microsoft recomenda o uso das ferramentas do Microsoft 365 Defender e atualização de sistemas operacionais e aplicativos instalados. Como o LemonDuck se aproveita de brechas antigas e já corrigidas, isso, junto à atenção aos temas das mensagens de e-mail usadas para espalhá-lo, devem ajudar a diminuir as chances de infecção.

Fonte: ZDNet, Microsoft Security Blog