Остерегайтесь Lemon Duck - крипто-майнера, который может взломать пароли

В конце октября 2020 года исследователи безопасности выпустили предупреждение о ботнете Lemon Duck. Ботнет для майнинга криптовалюты регистрирует значительный всплеск активности и снова делает ботов-майнеров актуальными.

Ботнет Lemon Duck был описан как одна из «более сложных» сетей ботов, ориентированных на крипто-майнинг. По общему мнению, он существует по крайней мере с конца 2018 года, но, начиная с августа 2020 года, наблюдается заметный рост запросов, указывающих на серверы управления и контроля Lemon Duck. Увеличение активности связано с атаками, которые в основном были направлены на Азиатские территории.

Новое исследование активности Lemon Duck было инициировано Cisco Talos, заметившим необычные признаки еще в марте 2020 года.

У Lemon Duck ошеломляющее количество переносчиков инфекции - до сих пор обнаружено около дюжины. Они охватывают целый ряд подходов, от удаленного рабочего стола до эксплуатации уязвимости Windows, вредоносных вложений в сообщениях электронной почты , перебора паролей и даже использования специальной платформы планирования для Linux.

Как работает лимонная утка

Lemon Duck сначала загружает и выполняет сценарий PowerShell, который отключает защиту в реальном времени Защитника Windows, а затем исключает процесс PowerShell из списка сканирования. Затем сценарий PowerShell проверяет, запущен ли процесс PowerShell с правами администратора. Если это так, полезная нагрузка загружается и выполняется в системе.

Ботнет сканирует систему и проверяет производителя и конкретную модель установленной видеокарты. Если дискретный графический процессор не обнаружен, полезная нагрузка загружает отдельный скрипт майнинга, который вместо этого запускается на процессоре системы. Lemon Duck также включает в себя ошеломляющие 10 000 строк кода, посвященных только модулю, который заботится о распространении ботнета.

Модуль распространения ботнета также имеет компонент электронной почты. При этом используются электронные письма со строками темы, в основном связанные с Covid-19 или другими шокирующими предложениями, предназначенными для того, чтобы запугать пользователя и заставить его открыть свои вложения, содержащие вредоносные файлы.

Lemon Duck использовался в кампаниях, нацеленных на все виды подключенных к Интернету устройств, таких как смарт-телевизоры, принтеры и даже автомобили с системой автопилота, основанной на компонентах, работающих в Windows 7.