Picos de atividade botnet de mineração de criptomoedas Lemon Duck

Views: 200
0 0
Read Time:4 Minute, 57 Second

Pesquisadores alertam para um aumento na botnet de mineração de criptomoedas a partir de agosto de 2020.

Pesquisadores estão alertando para um recente aumento dramático na atividade da botnet de mineração de criptomoedas Lemon Duck, que tem como alvo os recursos de computador das vítimas para minerar a moeda virtual Monero.

Pesquisadores alertam que o Lemon Duck é “um dos botnets de mineração mais complexos”, com vários truques interessantes na manga. Embora a botnet esteja ativa desde pelo menos o final de dezembro de 2018, pesquisadores observaram um aumento nas solicitações de DNS conectadas com seus servidores de comando e controle (C2) e mineração desde o final de agosto, em uma série de ataques centrados na Ásia (incluindo aqueles direcionados ao Irã, Egito, Filipinas, Vietnã e Índia).

“A Cisco Talos identificou atividade em nossa telemetria de ponto final associada ao malware de mineração de criptomoedas Lemon Duck, afetando três empresas diferentes nos setores de governo, varejo e tecnologia”, disseram pesquisadores da Cisco Talos, em pesquisa de terça-feira. “Observamos a atividade que se estende do final de março de 2020 até hoje.”

Ataques mais recentes incluíram módulos menos documentados que são carregados pelo componente principal do PowerShell – incluindo uma filial Linux e um módulo que permite se espalhar ainda mais enviando e-mails para vítimas com iscas COVID-19.

O Threatpost procurou os pesquisadores para obter mais informações sobre quantas vítimas foram alvo e até que ponto os operadores da botnet lucraram com os ataques de criptominação.

Lemon Duck

Lemon Duck tem pelo menos 12 vetores independentes de infecção – mais do que a maioria dos malwares. Esses recursos variam de SMB (Server Message Block, bloqueio de mensagens de servidor) e RDP (Remote Desktop Protocol), envio de e-mails com anexos de exploração ou direcionamento da falha do RDP BlueKeep (CVE-2019-0708) em máquinas Windows; ou segmentar vulnerabilidades no Redis (um armazenamento de estrutura de dados de código aberto e na memória usado como banco de dados, cache e corretor de mensagens) e yarn Hadoop (uma tecnologia de gerenciamento de recursos e agendamento de empregos) em máquinas Linux.

Após a infecção inicial, um script de carregamento powershell é baixado, que utiliza a função “bpu” para desativar a detecção em tempo real do Windows Defender e colocar powershell.exe na lista de processos excluídos da digitalização.

“bpu” também verifica se o script está funcionando com privilégios administrativos. Se for, a carga é baixada e executada usando o cmdlet Invoke-Expression (uma função que pode ser utilizada para chamar código dentro de um script ou comandos de construção a serem executados posteriormente). Se não, ele aproveita os executáveis do sistema existentes para iniciar a próxima etapa.

“Este é um bom ponto de partida para análise e recuperação de módulos adicionais”, disseram os pesquisadores. “Quase todos os módulos PowerShell são ofuscados com quatro ou cinco camadas de ofuscação, provavelmente geradas pelo módulo Invoke-Obfuscation. Embora sejam relativamente fáceis de remover, eles ainda retardam o processo de análise e dificultam a detecção usando assinaturas regulares.”

These executable modules, which are downloaded and driven by the main module, communicates with the C2 server over HTTP.

Funcionalidades Modulares

The modules include a main loader, which checks the level of user privileges and components relevant for mining, such as the type of the available graphic card (including GTX, NvidiaGeForceAMD and Radeon). If these GPUs are not detected, the loader downloads and runs the commodity XMRig CPU-based mining script.

Outros módulos incluem um módulo de disseminação principal (com o que os pesquisadores dizem incluir “um código bastante ambicioso” contendo mais de 10.000 linhas de codificação), um módulo baseado em Python embalado usando Pyinstaller e um módulo assassino projetado para desativar botnets de mineração concorrentes conhecidos.

Lemon Duck também inclui um módulo de disseminação de e-mails. Esses e-mails espalhados usando uma mistura de linhas de assunto e texto relacionados ao COVID-19, bem como outras iscas orientadas por emoção (como um assunto de e-mail “WTF” com o texto “O que há de errado com você?você está fora de sua mente!!!!!!!”). Esses e-mails contêm anexos infectados enviados usando a automação do Outlook para cada contato na agenda de endereços do usuário afetado.

Um exemplo de um e-mail enviado pelo módulo Lemon Duck. Crédito: Cisco Talos

Linux Branch

Os pesquisadores também lançaram luz sobre um ramo Linux menos documentado do malware Lemon Duck. Esses scripts de bash lemon duck são executados depois que o atacante compromete um host Linux (via Redis, YARN ou SSH). Existem dois scripts principais de bash, disseram os pesquisadores: O primeiro coleta alguns dados sobre o host infectado e tenta baixar uma versão Linux do minerador XMRig, antes de tentar excluir vários registros do sistema. A segunda tenta acabar e remover mineradores de criptomoedas concorrentes já presentes no sistema.

“O script também tenta encerrar e desinstalar processos relacionados aos agentes de segurança em nuvem do Alibaba e da Tencent. O script parece ser compartilhado entre várias botnets de criptominação baseadas em Linux”, disseram os pesquisadores.

Lemon Duck foi visto anteriormente em 2020 em uma campanha voltada para impressoras, smart TVs e veículos guiados automatizados que dependem do Windows 7. Pesquisadores em fevereiro alertaram que os esforços de mineração intensivos em processadores estão tomando seu pedágio sobre o equipamento e desencadeando falhas nos equipamentos, juntamente com a exposição de dispositivos a problemas de segurança, interrupção das cadeias de suprimentos e perda de dados.

Os defensores podem eliminar a ameaça de ataques de criptomoedas monitorando o comportamento do sistema para detectar quaisquer ameaças de sugação de recursos.

“Botnets de mineração de criptomoedas podem ser caros em termos dos ciclos de computação roubados e dos custos de consumo de energia”, disseram eles. “Embora as organizações precisem se concentrar na proteção de seus ativos mais valiosos, elas não devem ignorar ameaças que não são particularmente direcionadas para sua infraestrutura.”

FONTE: THREATPOST

Previous post Outubro Patch Tuesday: Microsoft Patches Critical, Wormable RCE Bug
Next post Microsoft corrige falha crítica do Windows TCP/IP no rollout de patches

Deixe um comentário