Fai attenzione a Lemon Duck, un minatore crittografico che può usare password a forza bruta

Alla fine di ottobre 2020, i ricercatori di sicurezza hanno emesso un avviso in merito alla botnet Lemon Duck. La botnet di mining di criptovaluta sta registrando un significativo picco di attività e sta rendendo nuovamente rilevanti i bot di criptovaluta.

La botnet Lemon Duck è stata descritta come una delle reti di bot "più complesse" incentrate sul crypto-mining. Il consenso è che esiste almeno dalla fine del 2018, ma c'è stato un aumento visibile delle richieste che puntano ai server di comando e controllo di Lemon Duck, a partire da agosto 2020. L'aumento dell'attività è legato agli attacchi che erano principalmente concentrati su Territori asiatici.

La nuova ricerca sull'enorme attività di Lemon Duck proviene da Cisco Talos, che ha notato segni insoliti già a marzo 2020.

Lemon Duck ha un numero impressionante di vettori di infezione: una dozzina ne sono stati scoperti finora. Questi coprono una gamma di approcci, dal desktop remoto, allo sfruttamento di una vulnerabilità specifica di Windows, agli allegati dannosi nelle e-mail , alla forzatura bruta delle password e persino allo sfruttamento di una piattaforma di pianificazione specifica per Linux.

Come funziona Lemon Duck

Lemon Duck prima scarica ed esegue uno script PowerShell che disattiva le protezioni in tempo reale di Windows Defender, quindi esclude il processo PowerShell dall'elenco di scansione. Successivamente, lo script di PowerShell controlla se il processo di PowerShell viene eseguito con privilegi di amministratore. In tal caso, il payload viene scaricato ed eseguito sul sistema.

La botnet esegue la scansione del sistema e controlla il produttore e il modello specifico della scheda grafica installata. Se non viene rilevata alcuna GPU discreta, il payload scarica uno script di mining separato che viene eseguito invece sulla CPU del sistema. Lemon Duck include anche ben 10.000 righe di codice dedicate proprio al modulo che si occupa di diffondere la botnet.

Il modulo di diffusione della botnet ha anche un componente di posta elettronica. Questo utilizza e-mail con oggetto per lo più correlato a Covid-19 o altre frasi scioccanti, intese a spaventare l'utente affinché apra i propri allegati che contengono file dannosi.

Lemon Duck è stato utilizzato in campagne mirate a tutti i tipi di dispositivi connessi a Internet come smart TV, stampanti e persino veicoli con un sistema di pilota automatico che si basa su componenti in esecuzione su Windows 7.