Microsoft da la alarma: un LemonDuck evolucionado ataca a equipos con Windows y Linux

LemonDuck

Microsoft ha publicado un informe avisando de que existe una versión evolucionada de LemonDuck que, además de minar criptomonedas, ahora puede robar credenciales, meter puertas traseras y llevar a cabo varias otras actividades maliciosas en los equipos vulnerables. La primera versión se descubrió hace años, pero lo que hacía era usar los recursos de nuestros equipos para minar monedas como el Bitcoin. El nuevo es mucho más peligroso, según el equipo Microsoft 365 Defender Threat Intellligence.

¿Y por qué estamos hablando de esto en LinuxAdictos? Porque este virus también afecta a los equipos que usan Linux. Entre sus nuevas habilidades, ahora puede robar credenciales, desactivar controles de seguridad, difundir correos de suplantación de identidad (phising) e instalar puertas traseras para dejar a los equipos expuestos a ataques futuros de otras herramientas.

LemonDuck puede explotar vulnerabilidades más antiguas

LemonDuck puede explotar vulnerabilidades antiguas que aún no hayan sido parcheadas. Entre los fallos que puede aprovechar, tenemos:

  • CVE-2019-0708, conocido como/relacionado a BlueKeep.
  • CVE-2017-0144, conocido como/relacionado a EternalBlue.
  • CVE-2020-0796, conocido como/relacionado a SMBGhost.
  • CVE-2017-8464, conocido como/relacionado a LNK RCE.
  • CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 y CVE-2021-26858 relacionados a ProxyLogon.

De lo más curioso de esta versión de LemonDuck es que puede eliminar a otros atacantes de la escena. Es decir, en un equipo infectado, este pato de limón intenta evitar nuevos ataques parcheando los mismos fallos que ha usado para conseguir acceso al sistema. Un malware acaparador y egoísta, pero tampoco es que vayamos a hablar bien de ningún otro software malicioso.

En un principio, LemonDuck está destinado a los usuarios de China, pero también está activo en los Estados Unidos, Francia, Alemania, Reino Unido, India, Rusia, Corea, Canadá y Vietnam. Ni España ni Latinoamérica están de momento en la lista, pero este es un buen momento para recordar que merece la pena instalar, como mínimo, todos los parches de seguridad que nos ofrece nuestra distribución Linux tan pronto en cuanto nos sea posible.


El contenido del artículo se adhiere a nuestros principios de ética editorial. Para notificar un error pincha aquí.

Un comentario, deja el tuyo

Deja tu comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

*

  1. Responsable de los datos: Miguel Ángel Gatón
  2. Finalidad de los datos: Controlar el SPAM, gestión de comentarios.
  3. Legitimación: Tu consentimiento
  4. Comunicación de los datos: No se comunicarán los datos a terceros salvo por obligación legal.
  5. Almacenamiento de los datos: Base de datos alojada en Occentus Networks (UE)
  6. Derechos: En cualquier momento puedes limitar, recuperar y borrar tu información.

  1.   ja dijo

    Esta campaña afectaba a Exchange Server entre sus versiones 2013 a 2019.
    En servidores con windows, curioso que la noticia repetida por toda la prensa amarilla sea que afecta a windows y linux, pero no a mac.
    Cachis, ya hay mercado, tenemos que empezar a vender antivirus y convencer a los de linux que lo de la cuenta de superusuario no sirve de nada es mejor un antivirus