{"id":2910,"date":"2021-07-28T17:40:17","date_gmt":"2021-07-28T22:40:17","guid":{"rendered":"https:\/\/www.itechsas.com\/blog\/?p=2910"},"modified":"2021-07-28T17:56:09","modified_gmt":"2021-07-28T22:56:09","slug":"microsoft-alerta-sobre-malware-dirigido-a-windows-y-linux","status":"publish","type":"post","link":"https:\/\/www.itechsas.com\/blog\/malware\/microsoft-alerta-sobre-malware-dirigido-a-windows-y-linux\/","title":{"rendered":"Microsoft alerta sobre malware dirigido a Windows y Linux"},"content":{"rendered":"\n<p>Microsoft alerta a los clientes sobre el malware <strong>LemonDuck <\/strong>de miner\u00eda criptogr\u00e1fica que se dirige tanto a sistemas Windows como Linux y se est\u00e1 propagando a trav\u00e9s de <strong>correos electr\u00f3nicos de phishing, exploits, dispositivos USB y ataques de fuerza bruta, as\u00ed como ataques dirigidos\u00a0a vulnerabilidades cr\u00edticas<\/strong> de <a rel=\"noreferrer noopener\" href=\"https:\/\/www.itechsas.com\/blog\/recursos\/microsoft-pide-maxima-prioridad-a-la-instalacion-de-los-parches-de-seguridad\/\" target=\"_blank\">Exchange Server descubiertas en marzo<\/a>.<\/p>\n\n\n\n<p>En particular, el grupo detr\u00e1s de LemonDuck se est\u00e1 aprovechando de los errores de seguridad de alto perfil al explotar vulnerabilidades m\u00e1s antiguas durante los per\u00edodos en los que los equipos de seguridad se centran en parchar fallas cr\u00edticas e incluso eliminar el malware rival.&nbsp;Se descubri\u00f3 que el grupo estaba usando errores de Exchange para extraer criptomonedas en mayo, dos a\u00f1os despu\u00e9s de su aparici\u00f3n. &nbsp; &nbsp; &nbsp; &nbsp;<\/p>\n\n\n\n<p>\u00ab[LemonDuck] contin\u00faa usando vulnerabilidades m\u00e1s antiguas, que benefician a los atacantes en momentos en que el enfoque cambia a parchear una vulnerabilidad popular en lugar de investigar el compromiso\u00bb,&nbsp;<a rel=\"noreferrer noopener\" href=\"https:\/\/www.microsoft.com\/security\/blog\/2021\/07\/22\/when-coin-miners-evolve-part-1-exposing-lemonduck-and-lemoncat-modern-mining-malware-infrastructure\/\" target=\"_blank\">se\u00f1ala el equipo de inteligencia de amenazas de Microsoft 365 Defender<\/a>&nbsp;.&nbsp;<\/p>\n\n\n\n<p>En los primeros a\u00f1os, LemonDuck apunt\u00f3 en gran medida a China, pero desde entonces sus operaciones se han expandido para incluir a muchos otros pa\u00edses, centr\u00e1ndose en los sectores de fabricaci\u00f3n e IoT.&nbsp;Hoy en d\u00eda, LemonDuck impacta en un rango geogr\u00e1fico muy amplio, y los Estados Unidos, Rusia, China, Alemania, el Reino Unido, India, Corea, Canad\u00e1, Francia y Vietnam son los que experimentan la mayor cantidad de encuentros.<\/p>\n\n\n\n<figure class=\"wp-block-image size-large\"><a href=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-15.png\"><img data-opt-id=2033495886  fetchpriority=\"high\" decoding=\"async\" width=\"757\" height=\"453\" src=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:auto\/h:auto\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-15.png\" alt=\"\" class=\"wp-image-2911\" srcset=\"https:\/\/ml4lvzevoq9y.i.optimole.com\/w:757\/h:453\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-15.png 757w, https:\/\/ml4lvzevoq9y.i.optimole.com\/w:300\/h:180\/q:mauto\/f:best\/https:\/\/www.itechsas.com\/blog\/wp-content\/uploads\/2021\/07\/image-15.png 300w\" sizes=\"(max-width: 650px) 100vw, 650px\" \/><\/a><\/figure>\n\n\n\n<blockquote class=\"wp-block-quote has-text-align-right is-layout-flow wp-block-quote-is-layout-flow\"><p>\u00abEn particular, LemonDuck elimina a otros atacantes de un dispositivo comprometido al deshacerse del malware de la competencia y prevenir nuevas infecciones al parchear las mismas vulnerabilidades que us\u00f3 para obtener acceso. Tambi\u00e9n dise\u00f1\u00f3 tareas automatizadas para explotar el exploit Eternal Blue SMB de la&nbsp;NSA que fue filtrado por piratas inform\u00e1ticos respaldados por el Kremlin&nbsp;y utilizado en el ataque de ransomware WannCry de 2017. La tarea se utiliz\u00f3 para incorporar la herramienta PCASTLE a fin de lograr un par de objetivos: abusar del exploit EternalBlue SMB, as\u00ed como usar la fuerza bruta o pasar el hash para moverse lateralmente y comenzar la operaci\u00f3n nuevamente. Muchos de estos comportamientos son todav\u00eda se observa en las campa\u00f1as de LemondDuck hoy \u00ab, se\u00f1ala el <strong>equipo de seguridad de Microsoft.<\/strong>&nbsp;<\/p><\/blockquote>\n\n\n\n<p>Los investigadores de malware Talos de Cisco tambi\u00e9n han estado&nbsp;analizando las actividades de Exchange del grupo&nbsp;.&nbsp;Descubri\u00f3 que LemonDuck estaba usando herramientas automatizadas para escanear, detectar y explotar servidores antes de cargar cargas \u00fatiles como el kit de pen test <strong>Cobalt Strike<\/strong>, una herramienta favorita para el movimiento lateraled, y web shells, lo que permite que el malware instale m\u00f3dulos adicionales.&nbsp;<\/p>\n\n\n\n<p>LemonDuck obtuvo su nombre de la variable \u00abLemon_Duck\u00bb en un script de PowerShell que act\u00faa como el agente de usuario para rastrear los dispositivos infectados.&nbsp;<\/p>\n\n\n\n<p>Las vulnerabilidades a las que apunta para el compromiso inicial incluyen CVE-2017-0144 (EternalBlue), CVE-2017-8464 (LNK RCE), CVE-2019-0708 (BlueKeep), CVE-2020-0796 (SMBGhost), CVE-2021-26855 (ProxyLogon), CVE-2021-26857 (ProxyLogon), CVE-2021-26858 (ProxyLogon) y CVE-2021-27065 (ProxyLogon).<\/p>\n\n\n\n<p>\u00abUna vez dentro de un sistema con un buz\u00f3n de correo de Outlook, como parte de su comportamiento de explotaci\u00f3n normal, LemonDuck intenta ejecutar un script que utiliza las credenciales presentes en el dispositivo. El script le indica al buz\u00f3n que env\u00ede copias de un mensaje de phishing con mensajes preestablecidos y archivos adjuntos. a todos los contactos \u00ab, se\u00f1ala Microsoft.&nbsp;<\/p>\n\n\n\n<p>Fuente: <a href=\"https:\/\/www.zdnet.com\/article\/microsoft-warns-over-this-unusual-malware-that-targets-windows-and-linux\/\">https:\/\/www.zdnet.com\/article\/microsoft-warns-over-this-unusual-malware-that-targets-windows-and-linux\/<\/a><\/p>\n\n\n\n<p><strong>Digital Defense<\/strong> es la mejor plataforma de evaluaci\u00f3n de amenazas y gesti\u00f3n de vulnerabilidades nativa en la nube, construida para facilitar su uso, comprometida con el m\u00e1s alto nivel de rendimiento y precisi\u00f3n. La gesti\u00f3n de vulnerabilidades es m\u00e1s que un simple an\u00e1lisis y evaluaci\u00f3n de vulnerabilidades. Digital Defense utiliza datos ricos y tecnolog\u00eda poderosa para identificar, priorizar y administrar de manera efectiva y eficiente la correcci\u00f3n de debilidades para obtener el m\u00e1ximo beneficio de seguridad para su organizaci\u00f3n.<\/p>\n\n\n\n<div class=\"wp-block-buttons is-layout-flex wp-block-buttons-is-layout-flex\">\n<div class=\"wp-block-button\"><a class=\"wp-block-button__link has-white-color has-vivid-red-background-color has-text-color has-background\" href=\"https:\/\/www.itechsas.com\/home\/product\/digital-defense\/\" target=\"_blank\" rel=\"noreferrer noopener\">Quiero conocer Digital Defense<\/a><\/div>\n<\/div>\n\n\n\n<p><\/p>\n","protected":false},"excerpt":{"rendered":"<p>Microsoft alerta a los clientes sobre el malware LemonDuck de miner\u00eda criptogr\u00e1fica que se dirige tanto a sistemas Windows como Linux y se est\u00e1 propagando a trav\u00e9s de correos electr\u00f3nicos de phishing, exploits, dispositivos USB y ataques de fuerza bruta, as\u00ed como ataques dirigidos\u00a0a vulnerabilidades cr\u00edticas de Exchange Server descubiertas en marzo. En particular, el&hellip;<\/p>\n","protected":false},"author":1,"featured_media":2912,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[3],"tags":[348,145,19,199,349],"class_list":["post-2910","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-malware","tag-lemonduck","tag-linux","tag-malware","tag-microsoft","tag-mineria-criptografica"],"nelio_content":{"autoShareEndMode":"never","automationSources":{"useCustomSentences":false,"customSentences":[]},"efiAlt":"","efiUrl":"","followers":[],"highlights":[],"isAutoShareEnabled":true,"networkImageIds":[],"permalinkQueryArgs":[],"series":[],"suggestedReferences":[]},"_links":{"self":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2910","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/comments?post=2910"}],"version-history":[{"count":0,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/posts\/2910\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media\/2912"}],"wp:attachment":[{"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/media?parent=2910"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/categories?post=2910"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.itechsas.com\/blog\/wp-json\/wp\/v2\/tags?post=2910"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}