Um infame malware de mineração de criptografia de plataforma cruzada continuou a refinar e melhorar suas técnicas para atacar os sistemas operacionais Windows e Linux, focando em vulnerabilidades mais antigas, enquanto simultaneamente se apega a uma variedade de mecanismos de disseminação para maximizar a eficácia de seus campanhas.
"LemonDuck, um malware robusto e atualizado ativamente que é conhecido principalmente por seus objetivos de mineração de botnet e criptomoeda, seguiu a mesma trajetória quando adotou um comportamento mais sofisticado e escalou suas operações", disse a Microsoft em um artigo técnico publicado na semana passada. "Hoje, além de usar recursos para suas atividades tradicionais de bot e mineração, a LemonDuck rouba credenciais, remove controles de segurança, se espalha por e-mail, se move lateralmente e, por fim, descarta mais ferramentas para atividades operadas por humanos."
O malware é conhecido por sua capacidade de se propagar rapidamente em uma rede infectada para facilitar o roubo de informações e transformar as máquinas em bots de mineração de criptomoedas, desviando seus recursos de computação para minerar ilegalmente criptomoedas. Notavelmente, LemonDuck atua como um carregador para ataques subsequentes que envolvem o roubo de credenciais e a instalação de implantes de estágio seguinte que podem atuar como uma porta de entrada para uma variedade de ameaças maliciosas, incluindo ransomware.
As atividades da LemonDuck foram detectadas pela primeira vez na China em maio de 2019, antes de começar a adotar iscas com o tema COVID-19 em ataques por email em 2020 e até mesmo as falhas do Exchange Server " ProxyLogon " recentemente corrigidas para obter acesso a sistemas sem patch. Outra tática digna de nota é sua capacidade de apagar "outros invasores de um dispositivo comprometido, livrando-se do malware concorrente e evitando novas infecções corrigindo as mesmas vulnerabilidades usadas para obter acesso".
Os ataques que incorporam malware LemonDuck têm se concentrado principalmente nos setores de manufatura e IoT, com os EUA, Rússia, China, Alemanha, Reino Unido, Índia, Coréia, Canadá, França e Vietnã testemunhando a maioria dos encontros.
Além disso, a Microsoft divulgou as operações de uma segunda entidade que conta com o LemonDuck para atingir "objetivos separados", que a empresa chamou de "LemonCat". Diz-se que a infraestrutura de ataque associada à variante "Cat" surgiu em janeiro de 2021, levando ao seu uso em ataques que exploram vulnerabilidades que visam o Microsoft Exchange Server. As intrusões subsequentes aproveitando os domínios Cat resultaram em instalação backdoor, credencial e roubo de dados e entrega de malware, geralmente um trojan do Windows chamado Ramnit .
"O fato de a infraestrutura Cat ser usada para campanhas mais perigosas não diminui a prioridade das infecções por malware da infraestrutura Duck", disse a Microsoft. "Em vez disso, essa inteligência adiciona um contexto importante para a compreensão dessa ameaça: o mesmo conjunto de ferramentas, acesso e métodos pode ser reutilizado em intervalos dinâmicos, para maior impacto."
