El equipo de inteligencia de amenazas para la suite de seguridad 365 Defender de Microsoft se centró recientemente en un ejemplo de una «infraestructura de malware de minería moderna» y describió cómo «cualquier cosa que tenga acceso a las máquinas, incluso el malware básico, crea amenazas más peligrosas».
En particular, ofreció un estudio de caso sobre LemonDuck. ¿El título de la publicación del blog? «Si los mineros de monedas evolucionan …»
Hoy en día, además de robar recursos para sus actividades tradicionales de minería y bots, LemonDuck roba credenciales, elimina los controles de seguridad, se propaga a través del correo electrónico, se mueve hacia los lados y, en última instancia, deja caer más herramientas para actividades impulsadas por humanos.
La amenaza que representa LemonDuck para las empresas también radica en el hecho de que es una amenaza multiplataforma. Es una de las pocas familias documentadas de malware de bot dirigido tanto a sistemas Linux como a dispositivos Windows. Utiliza una variedad de mecanismos de difusión, incluidos correos electrónicos de phishing, exploits, dispositivos USB, fuerza bruta, y ha demostrado que puede utilizar rápidamente noticias, eventos o la publicación de nuevos exploits para realizar campañas efectivas. En particular, LemonDuck elimina a otros atacantes de un dispositivo comprometido eliminando el malware de la competencia y previniendo nuevas infecciones parcheando las mismas vulnerabilidades a las que obtuvo acceso … LemonDuck se propaga de diferentes maneras, pero los dos métodos principales son (1) Compromete cualquier borde -iniciado o hecho posible por implantes de bot que se mueven hacia los lados dentro de una organización, o (2) campañas de correo electrónico iniciadas por bot.
LemonDuck actúa como cargador para muchas otras actividades de seguimiento, pero una de sus principales funciones es propagarse comprometiendo otros sistemas. Desde su primera aparición, los operadores de LemonDuck han escaneado en dispositivos Windows y Linux en busca de SMB, Exchange, SQL, Hadoop, REDIS, RDP u otros dispositivos Edge abiertos o débilmente autenticados que utilizan la aplicación de contraseña o vulnerabilidades de aplicación. Otros métodos de infección comunes son el movimiento dentro del entorno vulnerable, así como a través de USB y unidades conectadas. Estos procesos a menudo se inician automáticamente y se han producido durante toda la operación de LemonDuck.