Saugokitės „Lemon Duck“ - kriptografo, galinčio grobti slaptažodžius

2020 m. Spalio pabaigoje saugumo tyrėjai paskelbė įspėjimą dėl „Lemon Duck“ botneto. Kriptovaliutos kasybos botnetas užregistruoja reikšmingą aktyvumo šuolį ir vėl daro aktualius kriptografo robotus.

„Lemon Duck“ botnetas apibūdinamas kaip vienas iš „sudėtingesnių“ robotų tinklų, orientuotų į kriptografinę kasybą. Sutariama, kad jis egzistuoja bent jau nuo 2018 m. Pabaigos, tačiau pastebimas prašymų, nukreipiančių į „Lemon Duck“ komandų ir valdymo serverius, padidėjimas nuo 2020 m. Rugpjūčio mėn. Aktyvumo padidėjimas yra susijęs su atakomis, kurios daugiausia buvo nukreiptos į Azijos teritorijos.

Naujas „Lemon Duck“ aktyvumo tyrimas kilo iš „Cisco Talos“, kuris neįprastus požymius pastebėjo jau 2020 m. Kovo mėn.

Citrininė antis turi stulbinamą skaičių infekcijos pernešėjų - kol kas atrasta keliolika. Tai apima įvairius būdus, pradedant nuotoliniu darbalaukiu, baigiant naudoti „Windows“ skirtą pažeidžiamumą, baigiant kenksmingais el. Laiškų priedais , grubiu slaptažodžių priverstiniu būdu ir net naudojant „Linux“ pritaikytą planavimo platformą.

Kaip veikia citrininė antis

„Lemon Duck“ pirmiausia atsisiunčia ir vykdo „PowerShell“ scenarijų, kuris išjungia „Windows Defender“ apsaugas realiuoju laiku, tada pašalina „PowerShell“ procesą iš nuskaitymo sąrašo. Tada „PowerShell“ scenarijus patikrina, ar „PowerShell“ procesas vykdomas su administratoriaus teisėmis. Tokiu atveju naudingoji apkrova bus atsisiųsta ir vykdoma sistemoje.

Botnetas nuskaito sistemą ir patikrina įdiegtos vaizdo plokštės gamintoją ir konkretų modelį. Jei nėra atskiro GPU, naudingoji apkrova atsisiunčia atskirą kasybos scenarijų, kuris veikia sistemos procesoriuje. „Lemon Duck“ taip pat yra stulbinanti 10 000 eilučių kodo, skirta tik moduliui, kuris rūpinasi roboto tinklo platinimu.

Robotinio tinklo sklaidos modulis taip pat turi el. Pašto komponentą. Tam naudojami el. Laiškai, kurių temos dažniausiai susijusios su „Covid-19“, ar kiti šokiruojantys sakiniai, skirti vartotojui išgąsdinti atidaryti priedus, kuriuose yra kenkėjiški failai.

„Lemon Duck“ buvo naudojama kampanijose, kurios buvo skirtos įvairiausiems prie interneto prijungtiems įrenginiams, pavyzdžiui, išmaniesiems televizoriams, spausdintuvams ir net transporto priemonėms su automatinio pilotavimo sistema, kurios priklauso nuo „Windows 7“ veikiančių komponentų.

October 14, 2020

Palikti atsakymą