Hold øje med Lemon Duck - en Crypto Miner, der kan opfordre adgangskoder
I slutningen af oktober 2020 udsendte sikkerhedsforskere en advarsel vedrørende Lemon Duck botnet. Cryptocurrency mining botnet registrerer en betydelig aktivitetsstigning og gør crypto-miner-bots relevante igen.
Lemon Duck botnet er blevet beskrevet som et af de "mere komplekse" botnetværk med fokus på krypto-minedrift. Konsensus er, at det har eksisteret siden i det mindste sidst i 2018, men der har været en synlig stigning i anmodninger, der peger på Lemon Ducks kommando- og kontrolservere, startende i august 2020. Stigningen i aktivitet er knyttet til angreb, der for det meste var fokuseret på Asiatiske territorier.
Den nye forskning i Lemon Ducks svulm af aktivitet stammer fra Cisco Talos, der bemærkede usædvanlige tegn allerede i marts 2020.
Citronand har et svimlende antal infektionsvektorer - et dusin er indtil videre blevet opdaget. Disse dækker en række tilgange, fra eksternt skrivebord til udnyttelse af en Windows-specifik sårbarhed, til ondsindede vedhæftede filer i e-mails , til brutal tvang af adgangskoder og endda udnyttelse af en Linux-specifik planlægningsplatform.
Hvordan Lemon Duck fungerer
Lemon Duck downloader og udfører først et PowerShell-script, der slukker for Windows Defenders realtidsvagter og derefter udelukker PowerShell-processen fra scanningen. Derefter kontrollerer PowerShell-scriptet, om PowerShell-processen køres med administratorrettigheder. Hvis det er tilfældet, hentes nyttelasten og udføres på systemet.
Botnet scanner systemet og kontrollerer producenten og den specifikke model af det installerede grafikkort. Hvis der ikke registreres nogen diskret GPU, downloader nyttelasten et separat minescript, der kører på systemets CPU i stedet. Lemon Duck inkluderer også svimlende 10.000 linjer kode dedikeret til modulet, der tager sig af spredning af botnet.
Botnets spredemodul har også en e-mail-komponent. Dette bruger e-mails med emnelinjer, der hovedsagelig er relateret til Covid-19 eller andre chokerende sætninger, der har til formål at skræmme brugeren til at åbne deres vedhæftede filer, der indeholder de ondsindede filer.
Lemon Duck er blevet brugt i kampagner, der var målrettet mod alle mulige internetforbundne enheder såsom smart-tv, printere og endda køretøjer med et auto-pilot-system, der er afhængige af komponenter, der kører på Windows 7.
