Se opp for Lemon Duck - en Crypto Miner som kan oppfordre passord

I slutten av oktober 2020 utstedte sikkerhetsforskere en advarsel angående Lemon Duck botnet. Cryptocurrency mining botnet logger en betydelig aktivitetspike og gjør krypto-miner-bots relevante igjen.

Lemon Duck botnet har blitt beskrevet som et av de "mer komplekse" botnettverkene som er fokusert på kryptodrift. Konsensus er at den har eksistert siden i det minste sent i 2018, men det har vært en synlig stigning i forespørsler som peker på Lemon Ducks kommando- og kontrollservere, startende i august 2020. Aktivitetsøkningen er knyttet til angrep som hovedsakelig var fokusert på Asiatiske territorier.

Den nye forskningen på Lemon Ducks svulm av aktivitet stammer fra Cisco Talos, som la merke til uvanlige tegn allerede i mars 2020.

Lemon Duck har et svimlende antall infeksjonsvektorer - et dusin har blitt oppdaget så langt. Disse dekker en rekke tilnærminger, fra eksternt skrivebord, til å utnytte et Windows-spesifikt sårbarhet, til ondsinnede vedlegg i e-post , til tvinging av passord og til og med å utnytte en Linux-spesifikk planleggingsplattform.

Hvordan sitronand fungerer

Lemon Duck laster først ned og utfører et PowerShell-skript som slår av Windows Defenders sanntidsvakter, og ekskluderer deretter PowerShell-prosessen fra skannelisten. Deretter sjekker PowerShell-skriptet om PowerShell-prosessen kjøres med administratorrettigheter. Hvis det er tilfelle, blir nyttelasten lastet ned og utført på systemet.

Botnet skanner systemet og sjekker produsenten og den spesifikke modellen til det installerte grafikkortet. Hvis ingen diskret GPU oppdages, laster nyttelasten ned et eget gruveskript som kjører på systemets CPU i stedet. Lemon Duck inneholder også svimlende 10.000 linjer med kode dedikert bare til modulen som tar seg av spredning av botnet.

Botnets spredningsmodul har også en e-postkomponent. Dette bruker e-post med emnelinjer som hovedsakelig er relatert til Covid-19 eller andre sjokkerende setninger, ment å skremme brukeren til å åpne vedleggene som inneholder de ondsinnede filene.

Lemon Duck har blitt brukt i kampanjer som var rettet mot alle slags Internett-tilkoblede enheter som smarte TV-er, skrivere og til og med biler med et autopilotsystem som stole på komponenter som kjører på Windows 7.