Vigyázzon a Lemon Duckra - egy kriptobányászra, amely el tudja kényszeríteni a jelszavakat
2020 október végén a biztonsági kutatók figyelmeztetést adtak ki a Lemon Duck botnetről. A kriptovaluta-bányász botnet jelentős aktivitáscsúcsot naplóz, és a kriptobányász botokat ismét relevánssá teszi.
A Lemon Duck botnetet az egyik "bonyolultabb" robothálózatként írták le, amelynek középpontjában a kriptográfia áll. A konszenzus szerint legalább 2018 vége óta létezik, de látható emelkedés tapasztalható a Lemon Duck parancsnoki és irányítószervereire utaló kérésekben, 2020 augusztusától kezdődően. Az aktivitás növekedése olyan támadásokhoz kapcsolódik, amelyek többnyire Ázsiai területek.
A citromkacsa aktivitásának új kutatása a Cisco Talostól származik, aki már 2020 márciusában észrevette a szokatlan jeleket.
A citromkacsa megdöbbentően sok fertőző vektorral rendelkezik - eddig egy tucatot fedeztek fel. Ezek számos megközelítést fednek le, a távoli asztaltól kezdve a Windows-specifikus biztonsági rés kihasználásáig, az e-mailekben található rosszindulatú mellékletekig, a jelszavak durva kényszerítéséig és akár egy Linux-specifikus ütemezési platform kihasználásáig.
Hogyan működik a citromos kacsa
A Lemon Duck először letölti és futtatja a PowerShell parancsfájlt, amely kikapcsolja a Windows Defender valós idejű őrzőit, majd kizárja a PowerShell folyamatot a vizsgálati listából. Ezután a PowerShell parancsfájl ellenőrzi, hogy a PowerShell-folyamat adminisztrátori jogosultságokkal fut-e. Ebben az esetben a hasznos terhelés letöltésre és végrehajtásra kerül a rendszeren.
A botnet átvizsgálja a rendszert, és ellenőrzi a telepített grafikus kártya gyártóját és adott modelljét. Ha nem észlel különálló GPU-t, a hasznos terhelés külön bányászati szkriptet tölt le, amely helyett a rendszer CPU-ján fut. A Lemon Duck egy megdöbbentő 10 000 sornyi kódot is tartalmaz, amely csak a botnet terjesztéséről gondoskodó modulnak van szentelve.
A botnet terjesztő moduljában van egy e-mail komponens is. Ez olyan e-maileket használ, amelyek tárgyköre többnyire a Covid-19-hez vagy más sokkoló mondatokhoz kapcsolódik, és amelyek célja a felhasználó megijesztése a rosszindulatú fájlokat tartalmazó mellékletek megnyitásához.
A Lemon Duck-ot olyan kampányokban használták, amelyek mindenféle internethez csatlakoztatott eszközt céloztak meg, például intelligens tévéket, nyomtatókat és még olyan autókat is, amelyek automatikus vezérlő rendszerrel rendelkeznek, és amelyek a Windows 7 rendszeren futó összetevőkre támaszkodnak.