LemonCat Malware

LemonCat é uma nova operação ameaçadora envolvendo o malware LemonDuck já detectado. A ameaça LemonDuck foi detectada pela primeira vez em maio de 2019 e tem sido usada ativamente desde então. O foco inicial era estabelecer recursos de mineração de criptografia nos sistemas infectados. Este ataque cresceu em popularidade junto com o advento da esfera da cripto-moeda entre a população dominante. De acordo com um relatório divulgado pela 365 Defender Threat Intelligence Team da Microsoft, há outra operação de entrega do LemonDuck que está ativa com LemonCat simultaneamente. No entanto, existem diferenças suficientes para justificar a separação das duas operações.

Características do LemonCat

Enquanto as versões mais recentes do LemonDuck expandiram funcionalidades ameaçadoras que incluem rotinas de roubo de credenciais, entre outras melhorias significativas, o LemonCat vai ainda mais longe, causando danos potenciais ainda maiores aos sistemas infectados. Os vetores de infecção iniciais usados para entregar a ameaça incluem ataques RDP de força bruta e exploração de vulnerabilidades de borda.

Depois de obter acesso ao sistema, os operadores do LemonCat implantam a ameaça LemonDuck, mas também colocam os payloads de Trojans backdoor em alvos selecionados nesse estágio inicial do ataque. A ameaça de malware, então, analisa o sistema em busca de cargas concorrentes que já possam estar presentes e, em seguida, desativa-as. Ele também pode desativar certos produtos de segurança antimalware. Os backups criados pelo serviço padrão do Windows Shadow Volume Copy serão excluídos junto com a recuperação do sistema. Aqui, as vítimas do LemonCat também podem ser submetidas a cargas de malware adicionais, como Ramnit. Os cibercriminosos podem implantar ameaças com a tarefa de realizar ações específicas, dependendo de seu objetivo específico. Observou-se que o LemonCat soltou malware Ramnit entre outras ameaças.

O LemonCat pode se mover na organização comprometida lateralmente ou procurar novas vítimas por meio de campanhas de e-mail de phishing para se espalhar ainda mais.

Geolocalização das Vítimas

Os primeiros ataques com o LemonDuck visaram principalmente entidades baseadas na China. No entanto, desde então, o escopo das operações envolvendo a ameaça se expandiu muito. Ambas as infraestruturas LemonDuck e LemonCat analisadas no relatório têm um alcance global. As vítimas foram detectadas nos Estados Unidos, Rússia, China, Alemanha, Reino Unido, Índia, Coréia, Canadá, França e Vietnã. O fato de o malware ser capaz de infectar dispositivos Windows e Linux também ajuda a impactar um grupo muito maior de vítimas em potencial.