Microsoft publicado um relatório informando que há uma versão evoluída do pato-limão que, além de minerar criptomoedas, agora você pode roubar credenciais, invadir portas traseiras e realizar várias outras atividades maliciosas em computadores vulneráveis. A primeira versão foi descoberta anos atrás, mas o que ela fez foi usar os recursos de nossas equipes para extrair moedas como o Bitcoin. O novo é muito mais perigoso, de acordo com a equipe do Microsoft 365 Defender Threat Intellligence.
E por que estamos falando sobre isso em LinuxAdictos? Porque esse vírus também afeta computadores que usam Linux. Entre suas novas habilidades, ele agora pode roubar credenciais, desabilitar controles de segurança, espalhar e-mails de phishing e instalar backdoors para expor os computadores a ataques futuros de outras ferramentas.
LemonDuck pode explorar vulnerabilidades mais antigas
LemonDuck pode explorar vulnerabilidades antigas que ainda não foram corrigidas. Entre as falhas que você pode aproveitar, temos:
- CVE-2019-0708, conhecido como / relacionado ao BlueKeep.
- CVE-2017-0144, conhecido como / relacionado a EternalBlue.
- CVE-2020-0796, conhecido como / relacionado ao SMBGhost.
- CVE-2017-8464, conhecido como / relacionado a LNK RCE.
- CVE-2021-27065, CVE-2021-26855, CVE-2021-26857 e CVE-2021-26858 relacionados com ProxyLogon.
O mais curioso dessa versão do LemonDuck é que ela pode eliminar outros atacantes da cena. Ou seja, em um computador infectado, este pato-limão tente evitar novos ataques corrigindo os mesmos bugs que você usou para obter acesso ao sistema. Um malware acumulador e egoísta, mas não vamos falar bem de nenhum outro software malicioso.
Inicialmente, LemonDuck é destinado a usuários na China, mas também está ativo nos Estados Unidos, França, Alemanha, Reino Unido, Índia, Rússia, Coréia, Canadá e Vietnã. Nem a Espanha nem a América Latina estão na lista, mas é um bom momento para lembrar que vale a pena instalar, no mínimo, todos os patches de segurança que nossa distribuição Linux nos oferece o mais rápido possível.
Esta campanha afetou o Exchange Server entre suas versões de 2013 a 2019.
Em servidores com windows, curioso que a notícia repetida por toda a imprensa amarela é que afeta windows e linux, mas não mac.
Cachis, já existe mercado, temos que começar a vender antivírus e convencer o pessoal do linux que a conta de superusuário é inútil, antivírus é melhor