- Partiendo de China, el malware de minería de criptomonedas LemonDuck se ha extendido a varios lugares del mundo, especialmente en Norteamérica y Asia.
- Microsoft advierte que utiliza herramientas sofisticadas para atacar las soluciones empresariales y extenderse por las plataformas.
El malware de minería de criptomonedas sigue haciendo mella en los usuarios de Internet. El gigante informático Microsoft ha advertido recientemente a los usuarios de Windows que tengan cuidado con el infame malware de minería de criptomonedas LemonDuck, que afecta a varias plataformas. Además de Windows, este malware también está atacando a los usuarios de la plataforma Linux.
En su anuncio oficial, Microsoft señaló que LemonDuck ha estado desplegando una variedad de mecanismos de propagación para maximizar el impacto. Sus actividades tradicionales de bot y minería han sido robar las credenciales de los usuarios mientras eliminan los controles de seguridad.
Microsoft también añadió que el malware LemonDuck «se propaga a través de correos electrónicos, se mueve lateralmente y, en última instancia, deja caer más herramientas para la actividad humana». Una de las mayores amenazas de LemonDuck es que funciona en varias plataformas. Por lo tanto, es muy notorio y tiene una gran capacidad para propagarse rápidamente a través de las plataformas. El anuncio señala:
La amenaza de LemonDuck para las empresas radica también en el hecho de que es una amenaza multiplataforma. Es una de las pocas familias de bots documentadas que se dirigen tanto a sistemas Linux como a dispositivos Windows. Utiliza una amplia gama de mecanismos de propagación -correos electrónicos de phishing, exploits, dispositivos USB, fuerza bruta, entre otros- y ha demostrado que puede aprovechar rápidamente las noticias, los acontecimientos o la publicación de nuevos exploits para realizar campañas eficaces.
Así, LemonDuck actúa como cargador en los ataques de seguimiento que implican el robo de credenciales. Además, puede instalar implantes de etapa siguiente que sirven de puerta de entrada a una serie de amenazas maliciosas, incluido el ransomware.
Ampliación del mapa mundial
En los primeros años, LemonDuck se dirigía a los usuarios de China. Sin embargo, sus operaciones se han ampliado a otros países. En la actualidad, afecta a un amplio ámbito geográfico que incluye América del Norte y Asia.
Este año, LemonDuck ha empezado a utilizar comandos diversificados y una infraestructura y herramientas sofisticadas. señala el anuncio de Microsoft:
LemonDuck sigue utilizando C2, funciones, estructuras de scripts y nombres de variables durante mucho más tiempo que el promedio de los programas maliciosos. Esto se debe probablemente a su uso de proveedores de alojamiento a prueba de balas como Epik Holdings, que es poco probable que desconecten cualquier parte de la infraestructura de LemonDuck incluso cuando se denuncian acciones maliciosas, lo que permite que LemonDuck persista y siga siendo una amenaza.
Lemonduck utiliza con frecuencia el material de código abierto construido a partir de recursos utilizados por otras redes de bots. Así, varios componentes de la amenaza parecen similares. Pero el gigante informático Microsoft ha excavado en dos estructuras operativas distintas en las que ambas utilizan el malware LemonDuck, pero son operadas por entidades diferentes con objetivos distintos.
La infraestructura «Duck» es persistente en la ejecución de campañas y realiza actividades de seguimiento limitadas. La infraestructura funciona junto con el compromiso de los dispositivos de borde y sirve como método de infección. Utiliza explícitamente el script «LemonDuck».
La segunda infraestructura es la de «Cat» que tiene dos dominios con «cat» en el nombre. Esta siempre explota las vulnerabilidades de Microsoft Exchange Server. Hoy en día, la infraestructura «cat» está presente en los ataques de «instalación de puertas traseras, robo de credenciales y datos, y entrega de malware».Esta infraestructura suele entregar el malware Ramnit.
