Lemon_Duck

Os pesquisadores de malware continuam a detectar um número crescente de campanhas ameaçadoras que empregam vários malwares de criptografia. Entre as últimas descobertas está a ameaça Lemon_Duck. Parece que a maioria das campanhas que envolvem esse malware de cryptojacking foi concentrada na Ásia inicialmente. No entanto, desde então, o malware Lemon_Duck se espalhou globalmente e está fazendo mais e mais vítimas diariamente. Os autores da ameaça Lemon_Duck parecem ter como alvo as empresas principalmente, porque isso geralmente é mais lucrativo do que procurar usuários comuns. Os criadores da ameaça Lemon_Duck visam comprometer o maior número possível de sistemas, plantar um minerador de moeda digital e usar o poder de processamento do host infectado para minerar moeda digital. Obviamente, todo o dinheiro é transferido para as carteiras de moedas digitais dos atacantes.

Ataques de Força Bruta

O Lemon_Duck tem como alvo serviços inseguros conhecidos conectados à Web, que incluem o Microsoft SQL (MS-SQL), para infectar o host. Essa ameaça verifica dois serviços da Web conhecidos, o SMB (445), MS-SQL (1433) e um o qual o Lemon_Duck é executado por padrão ao infectar o host. A ameaça Lemon_Duck executam um ataque de força bruta usando uma senha para tentar entrar no host visado. Um ataque semelhante ao de força bruta mencionado anteriormente é executado novamente, mas, desta vez, os atacantes usam hashes para obter acesso ao serviço NTLM (NT Lan Machine) visado.

Quando o malware Lemon_Duck consegue se infiltrar em um sistema, ele pode:

• Comprometer unidades USB com arquivos LNK desonestos.
• Ter como alvo os serviços Samba vulneráveis e utilizar a exploração EternalBlue para se espalhar pelos hosts.
• Tentar autorizar com o RDP usando um ataque de dicionário de força bruta.

Coleta Informações sobre o Host

Para obter persistência no host comprometido, a ameaça Lemon_Duck adiciona um arquivo 'lnk' à pasta Inicialização do Windows. Além da mineração de moeda digital via o minerador de moeda digital plantada no sistema infiltrado, o malware Lemon_Duck também pode usar o serviço WMI (Windows Management Instrumentation) para executar comandos remotos. O malware Lemon_Duck garante a conexão com o servidor de C&C (Comando e Controle) dos invasores e fornece informações a cada hora. As informações que a ameaça Lemon_Duck está enviando para os seus operadores incluem dados sobre as contas de usuário presentes no sistema infectado, além de informações sobre software e hardware.

Ameaças como o malware Lemon_Duck não são incomuns, e os cibercriminosos estão ficando mais criativos ao encontrar maneiras de coletar dinheiro. Portanto, é crucial ter uma ferramenta anti-malware legítima que proteja os seus dados e o seu sistema contra pragas como o malware Lemon_Duck.