Lemon Duck - Antera Guarda il Cryptominer testardo
Lemon Duck è un malware di cryptomining che esiste da un paio di anni ormai. È stato individuato per la prima volta dai ricercatori di sicurezza nell'estate del 2019, poco più di due anni fa, e da allora è stato utilizzato in diverse campagne mirate.
I ricercatori di Microsoft hanno pubblicato un esame aggiornato del cryptominer Lemon Duck, delineando alcune curiose tendenze nel suo sviluppo.
Lemon Duck può insinuarsi e assumere il controllo di reti basate su Windows e Linux. Tuttavia, ha alcune caratteristiche che lo rendono un po' un caso speciale tra gli altri malware crittografici.
Mentre la maggior parte dei malware fa semplicemente del loro meglio per evitare il rilevamento, Lemon Duck va ben oltre. Non si limita a chiudere anti-malware e software di sicurezza sui sistemi compromessi, ma può effettivamente sradicare altri malware concorrenti, persino applicare patch di vulnerabilità per garantire che il sistema rimanga pulito da altri malware concorrenti.
Il trucco con l'applicazione di patch alle vulnerabilità non garantisce semplicemente uno spazio incontrastato per Lemon Duck sulla rete. Ha l'ulteriore effetto di ritardare le indagini umane, in quanto un'azienda o una rete potrebbe prima concentrare la propria attenzione sui dispositivi a cui mancano ancora le patch.
Un esempio di Lemon Duck che ripulisce il pavimento delle proprie orme è un attacco che utilizza il malware su reti che eseguono Microsoft Exchange Server. Dopo aver abusato dei bug per infiltrarsi nella rete, Lemon Duck è stato utilizzato per correggere in seguito gli stessi bug che aveva usato per infiltrarsi in primo luogo. Per finire, gli attori delle minacce dietro questa particolare campagna hanno utilizzato lo strumento di mitigazione di Microsoft per correggere i bug.
Inoltre, File Duck utilizza tecniche senza file e iniezioni dirette di memoria e processo, quindi il rilevamento è ulteriormente ostacolato.
Tutto ciò combinato rende File Duck particolarmente difficile da rintracciare e rimuovere, una volta che ha trovato la sua strada su una rete. Quando si tratta di piattaforme server che hanno un sovraccarico di risorse sufficiente, il consumo di risorse del malware potrebbe non diventare immediatamente evidente e può continuare a funzionare senza ostacoli per lunghi periodi di tempo.
