Lemon Duck - Anther Olhe para o Criptominer Teimoso
Lemon Duck é um malware de criptomineração que já existe há vários anos. Ele foi detectado pela primeira vez por pesquisadores de segurança no verão de 2019, há pouco mais de dois anos, e desde então tem sido usado em várias campanhas específicas.
Pesquisadores da Microsoft lançaram um exame atualizado do criptominer Lemon Duck, delineando algumas tendências curiosas em seu desenvolvimento.
Lemon Duck pode se infiltrar e assumir o controle de redes baseadas em Windows e Linux. No entanto, ele possui alguns recursos que o tornam um caso especial entre outros malwares criptográficos.
Enquanto a maioria dos malwares simplesmente faz o possível para evitar a detecção, o Lemon Duck vai além. Ele não simplesmente desliga o software antimalware e de segurança nos sistemas comprometidos, ele pode realmente eliminar outros malwares concorrentes e até mesmo aplicar patches de vulnerabilidade para garantir que o sistema permaneça livre de outros malwares concorrentes.
O truque de corrigir vulnerabilidades não garante simplesmente um espaço incontestado para Lemon Duck na rede. Isso tem o efeito adicional de atrasar a investigação humana, já que uma empresa ou rede pode primeiro focar sua atenção em dispositivos que ainda não possuem patches.
Um exemplo de Lemon Duck limpando o chão de seus próprios passos é um ataque usando o malware em redes que executam o Microsoft Exchange Server. Depois de abusar de bugs para se infiltrar na rede, Lemon Duck foi usado para consertar mais tarde os próprios bugs que usou para se infiltrar em primeiro lugar. Para piorar, os atores da ameaça por trás dessa campanha em particular usaram a própria ferramenta de mitigação da Microsoft para corrigir os bugs.
Além disso, o File Duck usa técnicas sem arquivo e injeção direta de memória e processo, de modo que a detecção é ainda mais dificultada.
Tudo isso combinado torna o File Duck especialmente difícil de rastrear e remover, uma vez que ele encontrou seu caminho em uma rede. Quando se trata de plataformas de servidor com sobrecarga de recursos suficiente, a drenagem de recursos do malware pode não se tornar muito perceptível imediatamente e pode continuar funcionando sem entraves por longos períodos de tempo.