Προσέξτε για το Lemon Duck - ένα Crypto Miner που μπορεί να κρυώσει τους κωδικούς πρόσβασης

Στα τέλη Οκτωβρίου 2020, ερευνητές ασφαλείας εξέδωσαν προειδοποίηση σχετικά με το botnet Lemon Duck. Το botnet εξόρυξης κρυπτονομισμάτων καταγράφει μια σημαντική άνοδο δραστηριότητας και καθιστά τα bots κρυπτογράφησης συναφή για άλλη μια φορά.

Το botnet Lemon Duck έχει περιγραφεί ως ένα από τα "πιο σύνθετα" δίκτυα bot που επικεντρώνονται στην εξόρυξη κρυπτογράφησης. Η συναίνεση είναι ότι έχει περάσει τουλάχιστον από τα τέλη του 2018, αλλά υπήρξε ορατή αύξηση στα αιτήματα που δείχνουν τους διακομιστές εντολών και ελέγχου του Lemon Duck, από τον Αύγουστο του 2020. Η αύξηση της δραστηριότητας συνδέεται με επιθέσεις που επικεντρώθηκαν κυρίως Ασιατικές περιοχές.

Η νέα έρευνα για τη δραστηριότητα του Lemon Duck προέρχεται από την Cisco Talos, η οποία παρατήρησε ασυνήθιστα σημάδια ήδη από τον Μάρτιο του 2020.

Το Lemon Duck έχει έναν εντυπωσιακό αριθμό φορέων λοίμωξης - μέχρι σήμερα έχουν ανακαλυφθεί δώδεκα. Αυτές καλύπτουν μια σειρά προσεγγίσεων, από απομακρυσμένη επιφάνεια εργασίας, έως εκμετάλλευση ευπάθειας για συγκεκριμένα Windows, κακόβουλα συνημμένα σε μηνύματα ηλεκτρονικού ταχυδρομείου , έως βίαια κωδικούς πρόσβασης και ακόμη και εκμετάλλευση πλατφόρμας προγραμματισμού για Linux.

Πώς λειτουργεί το Lemon Duck

Το Lemon Duck κατεβάζει πρώτα και εκτελεί ένα σενάριο PowerShell που απενεργοποιεί τους προφυλακτήρες σε πραγματικό χρόνο του Windows Defender και, στη συνέχεια, αποκλείει τη διαδικασία PowerShell από τη λίστα σάρωσης. Στη συνέχεια, το σενάριο PowerShell ελέγχει εάν η διαδικασία PowerShell εκτελείται με δικαιώματα διαχειριστή. Εάν συμβαίνει αυτό, το ωφέλιμο φορτίο λαμβάνεται και εκτελείται στο σύστημα.

Το botnet σαρώνει το σύστημα και ελέγχει τον κατασκευαστή και το συγκεκριμένο μοντέλο της εγκατεστημένης κάρτας γραφικών. Εάν δεν εντοπιστεί διακριτή GPU, το ωφέλιμο φορτίο κατεβάζει ένα ξεχωριστό σενάριο εξόρυξης που τρέχει στην CPU του συστήματος. Το Lemon Duck περιλαμβάνει επίσης εντυπωσιακές 10.000 γραμμές κώδικα αφιερωμένες μόνο στην ενότητα που φροντίζει να διαδώσει το botnet.

Η μονάδα εξάπλωσης του botnet διαθέτει επίσης ένα στοιχείο ηλεκτρονικού ταχυδρομείου. Αυτό χρησιμοποιεί μηνύματα ηλεκτρονικού ταχυδρομείου με γραμμές θέματος που σχετίζονται κυρίως με το Covid-19 ή άλλες συγκλονιστικές προτάσεις, με σκοπό να τρομάξει τον χρήστη να ανοίξει τα συνημμένα του που περιέχουν τα κακόβουλα αρχεία.

Το Lemon Duck έχει χρησιμοποιηθεί σε καμπάνιες που στοχεύουν σε κάθε είδους συσκευές συνδεδεμένες στο Διαδίκτυο, όπως έξυπνες τηλεοράσεις, εκτυπωτές και ακόμη και οχήματα με σύστημα αυτόματης πιλότου που βασίζεται σε στοιχεία που εκτελούνται στα Windows 7.