Вредоносное ПО для майнинга криптовалют продолжает наносить ущерб. Microsoft недавно выпустила предупреждение о печально известной кроссплатформенной вредоносной программе для крипто-майнинга LemonDuck. Он атакует не только Windows, но и компьютеры Linux.
В своем официальном заявлении Microsoft указала, что LemonDuck использует различные механизмы распространения, чтобы добиться максимального воздействия. Его традиционные действия с ботами и майнингом заключаются в краже учетных данных пользователя при удалении мер безопасности.
Вредоносная программа LemonDuck распространяется по электронной почте и оставляет дополнительные вредоносные программы на каждом зараженном компьютере. Однако самая большая угроза для LemonDuck заключается в том, что он действует на разных платформах и поэтому распространяется очень быстро. В заявлении говорится:
Еще одна угроза для бизнеса от LemonDuck заключается в том, что это кроссплатформенная угроза. Это одно из немногих задокументированных семейств вредоносных программ-ботов, разрушающих как системы Linux, так и устройства Windows. LemonDuck использует различные механизмы распространения: фишинговые электронные письма, эксплойты, USB-устройства, брутфорс и т. д. — и показал, что новости, события и публикация новых эксплойтов быстро используются для проведения эффективных кампаний.
LemonDuck действует как загрузчик для последующих атак, связанных с кражей учетных данных. Он также может устанавливать дополнительные имплантаты, которые действуют как шлюз для ряда других вредоносных угроз, включая программы-вымогатели.
Мировая экспансия
В первые несколько лет LemonDuck была сосредоточена на Китае. Однако его деятельность распространилась на несколько других стран. Сегодня он затрагивает большую географическую территорию, включая Северную Америку и Азию.
В отчете Microsoft говорится, что в этом году LemonDuck начал использовать разнообразные команды, сложную инфраструктуру и инструменты:
LemonDuck использует C2, функции, структуры скриптов и имена переменных гораздо дольше, чем обычное вредоносное ПО. Вероятно, это связано с использованием надежных хостинг-провайдеров, таких как Epik Holdings, которые вряд ли отключат какую-либо часть инфраструктуры LemonDuck, даже если будет сообщено о злонамеренных действиях, которые не удаляют LemonDuck и продолжают представлять угрозу.
Lemonduck часто использует материалы с открытым исходным кодом, созданные из ресурсов других ботнетов. Таким образом, несколько компонентов угрозы выглядят одинаково. Однако Microsoft вырыла две разные операционные структуры, обе с использованием вредоносного ПО LemonDuck, но управляемые разными организациями с разными целями.
Инфраструктура «Утки» постоянно проводит кампании и имеет ограниченную последующую активность. Инфраструктура работает совместно с взломом периферийных устройств и служит методом заражения. Она явно использует сценарий «LemonDuck».
Вторая инфраструктура — это инфраструктура «Cat», в которой есть два домена с именем «Cat». Они всегда используют слабые места Microsoft Exchange Server. Сегодня инфраструктура Cat присутствует в таких атаках, как установка бэкдора, кража учетных данных и данных, а также доставка вредоносного ПО. Эта инфраструктура часто поставляет вредоносное ПО Ramnit.
