Redacción NM
El malware LemonDuck es la última amenaza de ciberseguridad, que ha evolucionado de una botnet de criptomonedas a un malware peligroso que es capaz de robar credenciales, eliminar controles de seguridad y propagarse a través de correos electrónicos, entre otras cosas. Microsoft destacó recientemente los peligros clave de LemonDuck y cómo ha evolucionado.
Pero, ¿qué es exactamente el malware Lemon Duck, qué amenaza representa y por qué es tan peligroso? Esto es todo lo que necesita saber sobre el malware LemonDuck, incluido qué es, qué puede hacer y por qué debe preocuparse.
¿Qué es el malware LemonDuck?
El malware LemonDuck es un código que puede causar cambios no deseados, generalmente peligrosos, en su sistema. LemonDuck roba credenciales, elimina los controles de seguridad, se propaga a través de correos electrónicos, se mueve lateralmente y, en última instancia, deja caer más herramientas para la actividad operada por humanos.
El malware también es una amenaza multiplataforma, siendo una de las pocas familias de malware de bot documentadas que se dirige no solo a los sistemas Windows, sino también a las máquinas basadas en Linux, según el blog de Microsoft.
Irónicamente, es capaz de eliminar otro malware de un dispositivo comprometido porque no quiere competencia en el dispositivo.
LemonDuck tiene un impacto en un rango geográfico muy amplio, y los Estados Unidos, Rusia, China, Alemania, el Reino Unido, India, Corea, Canadá, Francia y Vietnam son los que experimentan la mayor cantidad de encuentros, informa Microsoft en su publicación sobre el malware.
¿Cómo se propaga el malware LemonDuck?
Se sabe que el LemonDuck se propaga a través de numerosas formas, que es otra razón por la que es tan peligroso. El malware puede replicarse a través de correos electrónicos de phishing falsos, dispositivos USB como unidades flash, además de varios exploits y ataques de fuerza bruta.
También se sabe que aprovecha rápidamente las noticias, los eventos o el lanzamiento de nuevos exploits para ejecutar campañas efectivas. El año pasado, el malware se aprovechó de la amenaza global de COVID para atraer a las personas a sus correos infectados. El malware también aprovechó las vulnerabilidades de Exchange Server recientemente parcheadas para obtener acceso a sistemas obsoletos.
¿Cómo funciona el malware LemonDuck?
Los investigadores de Microsoft conocen dos estructuras operativas distintas, que utilizan el malware LemonDuck, pero son potencialmente operadas por dos entidades diferentes para objetivos separados.
La primera, la infraestructura ‘Duck’, es muy consistente en la ejecución de campañas y en la realización de actividades de seguimiento limitadas. Como dice Microsoft, «esta infraestructura rara vez se ve junto con el compromiso del dispositivo perimetral como un método de infección, y es más probable que tenga nombres de visualización aleatorios para sus sitios C2, y siempre se observa utilizando» Lemon_Duck «explícitamente en el script».
La segunda infraestructura. Se sabe que la infraestructura ‘Cat’ utiliza principalmente dos dominios con la palabra «cat» en ellos. Surgió en enero de este año y se utilizó en ataques que explotan vulnerabilidades en Microsoft Exchange Server. Las iteraciones recientes del ataque a la infraestructura Cat han dado como resultado la instalación del malware por puerta trasera, la entrega de otro malware como el malware Ramnit y el robo de credenciales.
Ambas infraestructuras utilizan subdominios similares e incluso utilizan los mismos nombres de tareas, como «blackball». También utilizan el mismo tipo de contenido empaquetado alojado en sitios similares para secuencias de comandos de movimiento lateral y eliminación de competencia.
¿Cómo mantenerse a salvo y qué buscar?
Protegerse contra malware como el malware LemonDuck incluye más pasos que simplemente proteger su sistema con una herramienta como Microsoft 365 Defender. Escanear unidades USB también es una buena forma de evitar la amenaza.
También manténgase alejado de los correos electrónicos sospechosos. El malware LemonDuck se ha difundido a través de correos electrónicos con líneas de asunto que incluyen «La verdad de COVID-19«,»COVID-19 nCov Información especial OMS«,»adiós«,»carta de despedida» y «archivo roto«, entre otros.
También se sabe que el contenido del cuerpo de estos correos electrónicos contiene texto destinado a atraer a las personas para que abran un archivo adjunto, generalmente un archivo .doc, .js o .doc. El contenido del cuerpo del correo electrónico incluye contenido como «El virus en realidad proviene de los Estados Unidos de América.«,»información muy importante para Covid-19«,»¿Qué te pasa? ¿Estás loco?«,»adiós, mantente en contacto» y «¿Puedes ayudarme a arreglar el archivo? No puedo leerlo «, entre más ejemplos.
