Lemon Duck - Anthère regarde le cryptominer têtu
Lemon Duck est un malware de cryptomining qui existe depuis quelques années maintenant. Il a été repéré pour la première fois par des chercheurs en sécurité à l'été 2019, il y a un peu plus de deux ans, et a depuis été utilisé dans plusieurs campagnes ciblées.
Des chercheurs de Microsoft ont publié un examen mis à jour du cryptomineur Lemon Duck, décrivant certaines tendances curieuses dans son développement.
Lemon Duck peut se faufiler et prendre le contrôle des réseaux Windows et Linux. Cependant, il présente quelques fonctionnalités qui en font un cas particulier parmi les autres logiciels malveillants cryptographiques.
Alors que la plupart des logiciels malveillants font de leur mieux pour éviter d'être détectés, Lemon Duck va au-delà. Il ne se contente pas de fermer les logiciels anti-malware et de sécurité sur les systèmes compromis, il peut en fait éliminer d'autres logiciels malveillants concurrents, voire appliquer des correctifs de vulnérabilité pour garantir que le système reste exempt d'autres logiciels malveillants concurrents.
L'astuce avec la correction des vulnérabilités ne garantit pas simplement un espace incontesté pour Lemon Duck sur le réseau. Cela a pour effet supplémentaire de retarder l'investigation humaine, car une entreprise ou un réseau peut d'abord concentrer son attention sur des appareils qui manquent encore de correctifs.
Un exemple de Lemon Duck épongeant le sol de ses propres traces est une attaque utilisant le malware sur les réseaux exécutant Microsoft Exchange Server. Après avoir abusé de bugs pour infiltrer le réseau, Lemon Duck a été utilisé pour corriger plus tard les bugs mêmes qu'il avait l'habitude d'infiltrer en premier lieu. Pour couronner le tout, les acteurs de la menace derrière cette campagne particulière ont utilisé le propre outil d'atténuation de Microsoft pour corriger les bogues.
De plus, File Duck utilise des techniques sans fichier et des injections directes de mémoire et de processus, ce qui complique davantage la détection.
Tout cela combiné rend File Duck particulièrement difficile à localiser et à supprimer, une fois qu'il a trouvé son chemin sur un réseau. Lorsqu'il s'agit de plates-formes de serveur disposant d'une surcharge de ressources suffisante, l'épuisement des ressources du logiciel malveillant peut ne pas devenir trop perceptible immédiatement et il peut continuer à fonctionner sans entrave pendant de longues périodes.