Especialistas da empresa TrapX Security alertaram sobre uma nova campanha maliciosa. Criminosos usam malware autopropagador da família Lemon Duck.
A campanha de crimes cibernéticos tem como alvo grandes fabricantes que usam o Windows 7 subsistema para lançar endpoints de dispositivos IoT.
“Vários dos maiores fabricantes do mundo encontraram casos de infecção. Os invasores usaram variantes de malware para comprometer um conjunto de IoT incorporada (Internet das Coisas) dispositivos. A infecção teve como alvo uma variedade de dispositivos, desde impressoras inteligentes, TVs inteligentes, e até equipamentos operacionais pesados, como veículos guiados automaticamente (AGV)”, — dizem os especialistas da TrapX Security.
Operadores maliciosos atacam dispositivos IoT e os usam para extrair a criptomoeda Monero usando o XMRig ferramenta.
Pesquisadores alertam que processo intensivo de mineração afeta negativamente o funcionamento dos equipamentos e causa mau funcionamento, e também expõe o dispositivo a problemas de segurança, por exemplo, leva à interrupção da cadeia de abastecimento e à perda de dados.
Em cada caso descrito pelos pesquisadores, como ponto de partida, os invasores exploraram vulnerabilidades no Windows 7.
Lembrar, Janeiro 14, A Microsoft interrompeu oficialmente o suporte técnico do Windows 7 sistema operacional e released farewell OS updates. A Microsoft não fornecerá mais suporte técnico para quaisquer problemas, atualizações de software, bem como atualizações e patches para o sistema de segurança, portanto, a segurança dos dispositivos que executam este sistema operacional está em risco.
“A amostra de malware analisada pelo TrapX faz parte da família Lemon Duck. O malware examinou a rede em busca de alvos potenciais, incluindo aqueles que usam o protocolo de rede SMB aberto (porta 445) ou o sistema de gerenciamento de banco de dados relacional MSSQL (porta 1433). Encontrando um alvo potencial, o malware lançou vários módulos com diversas funções”, – explicaram os pesquisadores.
Uma dessas funções incluía ataques de força bruta para serviços de hacking e posterior download e disseminação do malware através do protocolo SMB ou MSSQL.. Outra função era “lançando invoke-mimikatz através de um módulo de importação para obter hashes NTLM, com o download e distribuição de malware por meio do protocolo SMB.”
De acordo com os especialistas, o malware Lemon Duck permaneceu persistente em sistemas infectados usando tarefas agendadas, incluindo scripts do PowerShell, que invocou scripts adicionais do Lemon Duck PowerShell para instalar o XMRig.