Botnet Lucifer agora infecta também dispositivos Linux

Lúcifer, um botnet que tem sido infectar dispositivos Windows com cryptominers e utilizando sistemas comprometidos por ataques de negação de serviço distribuído, agora tem a capacidade de comprometer os sistemas baseados em Linux, bem como, de acordo com o NetScout Engineering & Response Equipe ATLAS Segurança.

Os pesquisadores da Unidade 42 da Palo Alto Network perceberam o botnet Lucifer pela primeira vez em junho, observando que o malware tira proveito de várias vulnerabilidades não corrigidas em dispositivos Windows, que permitem que os invasores executem códigos arbitrários.

Uma vez que um dispositivo é comprometido, o botnet pode plantar malware XMRig para minerar criptomoeda monero, bem como usar esses dispositivos para lançar ataques DDoS contra alvos, de acordo com a Unidade 42. O XMRig é cada vez mais popular entre os cibercriminosos que procuram extrair ilegalmente moedas virtuais (consulte : ‘FritzFrog’ P2P Botnet tem como alvo servidores SSH ).

Agora, os operadores por trás do botnet Lucifer criaram uma versão que pode ter como alvo os sistemas Linux, o que pode aumentar a capacidade dos invasores de lançar ataques DDoS, incluindo ataques de inundação baseados em ICMP, TCP e UDP, de acordo com a Netscout.

“O fato de poder ser executado em sistemas baseados em Linux significa que pode comprometer e usar servidores de alto desempenho e alta largura de banda em data centers de internet, com cada nó apresentando uma capacidade maior em termos de ataque DDoS do que é típico da maioria dos bots rodando em Windows ou dispositivos Linux baseados em IoT “, observam os pesquisadores da Netscout em um relatório divulgado esta semana.

“À primeira vista, um robô híbrido cryptojacker / DDoS parece um pouco incomum”, observam os pesquisadores. “No entanto, dada a prevalência de ataques DDoS dentro da arena ilícita de criptominação, faz um estranho tipo de sentido ter um bot ‘one-stop’. Isso permite que os controladores atendam às suas necessidades de uma só vez, em vez de forçá-los a usar o booter / serviços estressantes ou outras redes de bots DDoS para impedir o progresso de seus criminosos rivais. “

Outras Capacidades

Os pesquisadores da Netscout também descobriram que a versão atualizada do Lúcifer projetada para Windows adicionou recursos. Agora também planta o Mimikatz, um script PowerShell usado para roubar credenciais e escalar privilégios em dispositivos Windows comprometidos.

Quando a Unidade 42 descobriu Lúcifer pela primeira vez, os pesquisadores descobriram que o botnet usava métodos de força bruta direcionados a portas vulneráveis ​​para adivinhar combinações de nomes de usuário e senhas para iniciar o ataque inicial. O malware também tira proveito de exploits conhecidos, como o EternalBlue , para permitir que execute código arbitrário no dispositivo comprometido.

Quando a Netscout estava conduzindo sua própria pesquisa, foi capaz de vincular as versões mais recentes do Lúcifer do Linux à versão criada para Windows porque ambas as variantes de malware usavam a mesma infraestrutura de comando e controle, de acordo com o novo relatório.

“A adição da versão Linux aumenta sua capacidade de colher sistemas adicionais em seu botnet”, observa o relatório da Netscout. “Além disso, a adição de novos arquivos de recursos junto com a versão do Linux sugere que os autores ainda estão trabalhando ativamente em novos recursos para aumentar a penetração e expandir sua pegada.”

Outros botnets, como o Kaiji, que os pesquisadores descobriram em abril, também parecem ter sido projetados para sistemas baseados em Linux (consulte: Kaiji Botnet Targets Linux Servers, IoT Devices ).

Fonte: https://www.govinfosecurity.com/lucifer-botnet-now-target-linux-devices-a-14867