Windows er fremdeles hovedarenaen hvor skadevare-kampene utkjempes, men en økende andel av de ondsinnede programmene sikter seg nå inn på andre plattformer. Nå har Microsoft kommet med en ny advarsel som også Linux-folket bør være oppmerksom på.
Lemonduck er navnet på en skadevare som havnet på Microsofts radar for alvor etter at den begynte å utvide funksjonaliteten sin kraftig den siste tiden.
Fjerner annen skadevare
Lemonduck dukket først opp i 2019 og ble opprinnelig brukt til hovedsakelig kryptovaluta-graving, men programvaren kan nå i tillegg stjele persondata, fjerne sikkerhetsmekanismer, plante bakdører og til å levere andre typer skadevare.
Programvaren har også en annen, snodig egenskap. Ifølge Microsoft er den nemlig i stand til å deaktivere annen «konkurrerende» skadevare på systemene den infiserer, og deretter fikse sikkerhetshullet den selv benyttet for å forhindre fremtidig infisering av annen skadevare.
Lemonduck sprer seg på flere ulike måter. Hovedmetodene innebærer bruk av implantater som sprer skadevaren til enheter innad i nettverket til organisasjoner, samt phishing-angrep via e-postkampanjer. USB-enheter er også blant spredningsmetodene.
– Straks den befinner seg på et system med en Outlook-postkasse forsøker Lemonduck å kjøre et skript som benytter seg av persondataene på enheten. Skriptet instruerer postkassen om å sende kopier av en phishing-melding og vedlegg til alle kontakter, skriver Microsoft.
Utnytter en rekke sikkerhetshull
Denne metoden gjør at sikkerhetsmekanismer som baserer seg på hvorvidt e-posten kommer fra en mistenkelig kilde, ikke vil ha noen effekt.
Skadevaren utnytter en rekke sikkerhetshull og svakheter i nettverkene til ofrene til den første infeksjonen. Ifølge Microsoft har bakmennene aktivt skannet både Windows- og Linux-enheter for svakheter i blant annet SMB-protokollen (server message block) og e-posttjenesten Microsoft Exchange, som begge har blitt utnyttet til flere andre typer angrep den siste tiden.
De mye omtalte Bluekeep- og Eternalblue-sårbarhetene skal også ha blitt utnyttet av Lemonduck-bakmennene, i tillegg til en rekke andre kjente og mindre kjente sårbarheter.
I begynnelsen skal de fleste infeksjonene ha funnet sted i Kina, men siden har skadevarens aktivitet spredd seg til mange andre land, inkludert europeiske nasjoner som Tyskland, Storbritannia og Frankrike. Det er uvisst i hvilken grad Norge er berørt.
Mer informasjon kan du finne i Microsofts blogginnlegg om Lemonduck-skadevaren.
.jpg)
Android-skadevare sprer seg via SMS-meldinger og falske apper – Norge rammet
