Méfiez-vous de Lemon Duck - un crypto-mineur capable de créer des mots de passe de force brute
Fin octobre 2020, des chercheurs en sécurité ont émis un avertissement concernant le botnet Lemon Duck. Le botnet de minage de crypto-monnaie enregistre un pic d'activité significatif et rend les robots crypto-mineurs pertinents une fois de plus.
Le botnet Lemon Duck a été décrit comme l'un des réseaux de robots «plus complexes» axés sur la crypto-extraction. Le consensus est qu'il existe depuis au moins fin 2018, mais il y a eu une augmentation visible des demandes qui pointent vers les serveurs de commande et de contrôle de Lemon Duck, à partir d'août 2020. L'augmentation de l'activité est liée à des attaques principalement axées sur Territoires asiatiques.
La nouvelle recherche sur la vague d'activité de Lemon Duck provient de Cisco Talos, qui a remarqué des signes inhabituels dès mars 2020.
Lemon Duck a un nombre impressionnant de vecteurs d'infection - une douzaine ont été découverts jusqu'à présent. Celles-ci couvrent une gamme d'approches, du bureau à distance, à l'exploitation d'une vulnérabilité spécifique à Windows, aux pièces jointes malveillantes dans les e-mails , au forçage brutal des mots de passe et même à l'exploitation d'une plate-forme de planification spécifique à Linux.
Comment fonctionne le canard au citron
Lemon Duck télécharge et exécute d'abord un script PowerShell qui désactive les protections en temps réel de Windows Defender, puis exclut le processus PowerShell de la liste d'analyse. Ensuite, le script PowerShell vérifie si le processus PowerShell est exécuté avec des privilèges d'administrateur. Si tel est le cas, la charge utile est téléchargée et exécutée sur le système.
Le botnet analyse le système et vérifie le fabricant et le modèle spécifique de la carte graphique installée. Si aucun GPU discret n'est détecté, la charge utile télécharge un script d'extraction distinct qui s'exécute à la place sur le processeur du système. Lemon Duck comprend également un nombre impressionnant de 10000 lignes de code dédiées uniquement au module qui s'occupe de diffuser le botnet.
Le module de diffusion du botnet comprend également un composant de messagerie électronique. Cela utilise des e-mails avec des lignes d'objet principalement liées à Covid-19 ou d'autres phrases choquantes, destinées à effrayer l'utilisateur en ouvrant ses pièces jointes contenant les fichiers malveillants.
Lemon Duck a été utilisé dans des campagnes ciblant toutes sortes d'appareils connectés à Internet, tels que les téléviseurs intelligents, les imprimantes et même les véhicules dotés d'un système de pilotage automatique qui reposent sur des composants fonctionnant sous Windows 7.