Se upp för Lemon Duck - en Crypto Miner som kan brute-Force lösenord
I slutet av oktober 2020 utfärdade säkerhetsforskare en varning angående Lemon Duck botnet. Botnet för kryptovalutagruvning loggar en betydande aktivitetsökning och gör krypto-gruvarbots relevanta igen.
Lemon Duck botnet har beskrivits som ett av de "mer komplexa" botnätverk som fokuserar på kryptogruva. Samförståndet är att det har funnits sedan åtminstone slutet av 2018 men det har varit en synlig uppgång i förfrågningar som pekar på Lemon Ducks kommando- och styrservrar, med början i augusti 2020. Ökningen i aktivitet är kopplad till attacker som mest fokuserade på Asiatiska territorier.
Den nya forskningen om Lemon Ducks sväll av aktivitet kommer från Cisco Talos, som märkte ovanliga tecken redan i mars 2020.
Lemon Duck har ett svindlande antal infektionsvektorer - ett dussin har hittills hittats. De täcker en rad tillvägagångssätt, från fjärrskrivbord, till att utnyttja en Windows-specifik sårbarhet, till skadliga bilagor i e-postmeddelanden , till brute-tvingande av lösenord och till och med att utnyttja en Linux-specifik schemaläggningsplattform.
Hur Lemon Duck fungerar
Lemon Duck laddar först ner och kör ett PowerShell-skript som stänger av Windows Defenders realtidsskydd och utesluter sedan PowerShell-processen från genomsökningslistan. Därefter kontrollerar PowerShell-skriptet om PowerShell-processen körs med administratörsbehörigheter. Om så är fallet laddas nyttolasten och körs på systemet.
Botnet skannar systemet och kontrollerar tillverkaren och den specifika modellen för det installerade grafikkortet. Om ingen diskret GPU detekteras laddar nyttolasten ner ett separat gruvskript som körs på systemets CPU istället. Lemon Duck innehåller också häpnadsväckande 10 000 rader kod dedikerad bara till modulen som tar hand om att sprida botnet.
Botnets spridningsmodul har också en e-postkomponent. Detta använder e-postmeddelanden med ämnesrader som mestadels är relaterade till Covid-19 eller andra chockerande meningar, avsedda att skrämma användaren till att öppna sina bilagor som innehåller de skadliga filerna.
Lemon Duck har använts i kampanjer som riktar sig till alla slags internetanslutna enheter som smart-TV, skrivare och till och med fordon med ett autopilotsystem som är beroende av komponenter som körs på Windows 7.