Expertos de la empresa TrapX Security advirtieron sobre una nueva campaña maliciosa. Los delincuentes utilizan malware autopropagante de la familia Lemon Duck.
La campaña contra el cibercrimen se dirige a los grandes fabricantes que utilizan Windows 7 subsistema para lanzar puntos finales de dispositivos IoT.
"Varios de los fabricantes más grandes del mundo encontraron casos de infección. Los atacantes utilizaron variantes de malware para comprometer un conjunto de IoT integrado (Internet de las Cosas) dispositivos. La infección se dirigió a una variedad de dispositivos, desde impresoras inteligentes, televisores inteligentes, e incluso equipos operativos pesados como vehículos de guiado automático (AGV)", — dicen los especialistas de TrapX Security.
Los operadores maliciosos atacan los dispositivos IoT y los utilizan para extraer criptomonedas Monero utilizando el XMRig herramienta.
Investigadores advierten que un proceso minero intensivo afecta negativamente el funcionamiento de los equipos y provoca mal funcionamiento, y también expone el dispositivo a problemas de seguridad., por ejemplo, provoca interrupciones en la cadena de suministro y pérdida de datos..
En cada caso descrito por los investigadores., Como punto de partida, los atacantes explotaron vulnerabilidades en Windows. 7.
Recordar, Enero 14, Microsoft detuvo oficialmente el soporte técnico de Windows 7 sistema operativo y released farewell OS updates. Microsoft ya no brindará soporte técnico sobre ningún problema, actualizaciones de software, así como actualizaciones y parches al sistema de seguridad, por lo que la seguridad de los dispositivos que ejecutan este sistema operativo está en riesgo.
“La muestra de malware analizada por TrapX es parte de la familia Lemon Duck. El malware escaneó la red en busca de objetivos potenciales., incluidos aquellos que utilizan el protocolo de red abierto SMB (puerto 445) o el sistema de gestión de bases de datos relacionales MSSQL (puerto 1433). Encontrar un objetivo potencial, el malware lanzó varios módulos con varias funciones”, – explicaron los investigadores.
Una de estas funciones incluía ataques de fuerza bruta para piratear servicios y descargar y difundir malware a través del protocolo SMB o MSSQL.. Otra función era «lanzando invoke-mimikatz a través de un módulo de importación para obtener hashes NTLM, con la posterior descarga y distribución de malware a través del protocolo SMB.»
Según los expertos, El malware Lemon Duck permaneció persistente en los sistemas infectados mediante tareas programadas., incluyendo scripts de PowerShell, que invocó scripts adicionales de Lemon Duck PowerShell para instalar XMRig.