Uważaj na Lemon Duck - Crypto Miner, który może wymusić hasła

Pod koniec października 2020 r. Badacze bezpieczeństwa wydali ostrzeżenie dotyczące botnetu Lemon Duck. Botnet wydobywający kryptowaluty rejestruje znaczny wzrost aktywności i sprawia, że boty kopiące kryptowaluty są ponownie przydatne.

Botnet Lemon Duck został opisany jako jedna z „bardziej złożonych” sieci botów zajmujących się wydobywaniem kryptowalut. Konsensus jest taki, że istnieje co najmniej od końca 2018 r., Ale nastąpił widoczny wzrost liczby żądań dotyczących serwerów dowodzenia i kontroli Lemon Duck, począwszy od sierpnia 2020 r. Wzrost aktywności jest powiązany z atakami, które były głównie skupione na Terytoria azjatyckie.

Nowe badanie wzrostu aktywności Lemon Duck pochodzi od Cisco Talos, który zauważył niezwykłe oznaki już w marcu 2020 roku.

Lemon Duck ma oszałamiającą liczbę wektorów infekcji - do tej pory odkryto kilkanaście. Obejmują one szereg podejść, od zdalnego pulpitu, przez wykorzystanie luki specyficznej dla systemu Windows, przez złośliwe załączniki w wiadomościach e-mail , po brutalne wymuszanie haseł, a nawet wykorzystywanie platformy planowania specyficznej dla systemu Linux.

Jak działa Lemon Duck

Lemon Duck najpierw pobiera i wykonuje skrypt PowerShell, który wyłącza zabezpieczenia działające w czasie rzeczywistym programu Windows Defender, a następnie wyklucza proces PowerShell z listy skanowania. Następnie skrypt PowerShell sprawdza, czy proces PowerShell jest uruchamiany z uprawnieniami administratora. W takim przypadku ładunek jest pobierany i wykonywany w systemie.

Botnet skanuje system i sprawdza producenta oraz konkretny model zainstalowanej karty graficznej. Jeśli nie zostanie wykryty żaden oddzielny procesor graficzny, ładunek pobiera osobny skrypt eksplorujący, który działa zamiast tego na procesorze systemu. Lemon Duck zawiera również oszałamiającą liczbę 10 000 linii kodu poświęconą tylko modułowi, który zajmuje się rozprzestrzenianiem botnetu.

Moduł rozprzestrzeniania botnetu zawiera również komponent poczty elektronicznej. Wykorzystuje to wiadomości e-mail z tematami, które są głównie związane z Covid-19 lub innymi szokującymi zdaniami, których celem jest przestraszenie użytkownika, aby otworzył załączniki zawierające złośliwe pliki.

Lemon Duck był używany w kampaniach skierowanych do wszelkiego rodzaju urządzeń podłączonych do Internetu, takich jak telewizory inteligentne, drukarki, a nawet pojazdy z systemem autopilota, który opiera się na komponentach działających w systemie Windows 7.