Achten Sie auf Lemon Duck - einen Crypto Miner, der Passwörter brutal erzwingen kann

Ende Oktober 2020 warnten Sicherheitsforscher vor dem Botnet Lemon Duck. Das Cryptocurrency-Mining-Botnetz protokolliert einen signifikanten Aktivitätsanstieg und macht Crypto-Miner-Bots erneut relevant.

Das Lemon Duck-Botnetz wurde als eines der "komplexeren" Bot-Netzwerke beschrieben, die sich auf Crypto-Mining konzentrieren. Es besteht Einigkeit darüber, dass es seit mindestens Ende 2018 besteht, aber ab August 2020 gab es einen sichtbaren Anstieg der Anfragen, die auf die Befehls- und Kontrollserver von Lemon Duck verweisen. Die Zunahme der Aktivitäten hängt mit Angriffen zusammen, auf die hauptsächlich konzentriert wurde Asiatische Gebiete.

Die neue Studie über die Aktivität von Lemon Duck stammt von Cisco Talos, der bereits im März 2020 ungewöhnliche Anzeichen bemerkte.

Lemon Duck hat eine erstaunliche Anzahl von Infektionsvektoren - ein Dutzend wurden bisher entdeckt. Diese decken eine Reihe von Ansätzen ab, vom Remotedesktop über die Ausnutzung einer Windows-spezifischen Sicherheitsanfälligkeit bis hin zu böswilligen Anhängen in E-Mails , dem brutalen Erzwingen von Kennwörtern und sogar der Ausnutzung einer Linux-spezifischen Planungsplattform.

Wie Zitronenente funktioniert

Lemon Duck lädt zuerst ein PowerShell-Skript herunter und führt es aus, das die Echtzeitschutzfunktionen von Windows Defender deaktiviert. Anschließend wird der PowerShell-Prozess von der Scanliste ausgeschlossen. Als Nächstes prüft das PowerShell-Skript, ob der PowerShell-Prozess mit Administratorrechten ausgeführt wird. In diesem Fall werden die Nutzdaten heruntergeladen und auf dem System ausgeführt.

Das Botnetz scannt das System und überprüft den Hersteller und das spezifische Modell der installierten Grafikkarte. Wenn keine diskrete GPU erkannt wird, lädt die Nutzlast ein separates Mining-Skript herunter, das stattdessen auf der CPU des Systems ausgeführt wird. Lemon Duck enthält außerdem unglaubliche 10.000 Codezeilen, die nur dem Modul gewidmet sind, das sich um die Verbreitung des Botnetzes kümmert.

Das Spreading-Modul des Botnetzes verfügt ebenfalls über eine E-Mail-Komponente. Hierbei werden E-Mails mit Betreffzeilen verwendet, die sich hauptsächlich auf Covid-19 oder andere schockierende Sätze beziehen, um den Benutzer dazu zu bringen, seine Anhänge zu öffnen, die die schädlichen Dateien enthalten.

Lemon Duck wurde in Kampagnen verwendet, die auf alle Arten von Geräten mit Internetverbindung abzielten, z. B. Smart-TVs, Drucker und sogar Fahrzeuge mit einem Autopilotsystem, das auf Komponenten basiert, die unter Windows 7 ausgeführt werden.

October 14, 2020

Antworten