L’équipe Microsoft 365 Defender Threat Intelligence a publié jeudi un aperçu détaillé des malwares LemonDuck et LemonCat utilisés pour exploiter la cryptomonnaie Monero, après avoir eu accès à des appareils vulnérables.

Le combat de Microsoft contre les malwares

Extrait du rapport Microsoft :

Combattre et prévenir les menaces d’aujourd’hui pour les entreprises nécessitent une protection complète axée sur la pleine portée et l’impact des attaques. Tout ce qui peut accéder aux machines, même les malwares dits de base, peuvent apporter des menaces plus dangereuses.

Nous l’avons vu dans les chevaux de Troie bancaires servant de point d’entrée pour les ransomwares et les attaques au clavier. LemonDuck, un malware robuste et activement mis à jour qui est principalement connu pour ses objectifs d’extraction de botnet et de cryptomonnaie. Il a suivi la même trajectoire lorsqu’il a adopté un comportement plus sophistiqué et intensifié ses opérations. Aujourd’hui, au-delà de l’utilisation de ressources pour ses activités traditionnelles de bot et d’exploitation minière, LemonDuck vole les informations d’identification et supprime les contrôles de sécurité. De plus, il se propage via les e-mails, se déplace latéralement et finalement supprime davantage d’outils pour les activités humaines.

Selon Microsoft, les malwares comme LemonDuck menacent les appareils plus fréquemment dans les pays comme:

  • États-Unis
  • Russie
  • Chine
  • Allemagne
  • Royaume-Uni
  • Inde
  • Corée
  • Canada
  • France
  • Vietnam

Ces malware exploitent également les vulnérabilités de Windows et de Linux. De sorte qu’ils élargissent leurs réseaux autant que possible dans la recherche de victimes potentielles.

Le malware LemonDuck n’est pas une nouvelle menace

Celui-ci est actif depuis au moins 2019. Des sociétés de sécurité comme Trend Micro et Cisco Talos l’ont suivi au cours des mois qui ont suivi. À partir de janvier, cependant, il semblerait exister deux versions différentes du logiciel malveillant. De ce fait, ils partagent de nombreuses caractéristiques mais différent de plusieurs manières notables.

Microsoft a déclaré qu’il était « au courant de deux structures d’exploitation distinctes, qui utilisent toutes deux le malware LemonDuck mais sont potentiellement exploitées par deux entités différentes pour des objectifs distincts ». Il a décidé de conserver le surnom de LemonDuck pour la première structure d’exploitation, mais pour la seconde, il a décidé de lui donner un nouveau nom LemonCat.

Selon Microsoft, l’infrastructure LemonCat utilise des attaques entraînant généralement l’installation de portes dérobées. Ainsi, le vol d’informations d’identification et la diffusion de logiciels malveillants. Cela signifie que les attaques basées sur LemonCat sont généralement plus dangereuses que celles basées sur LemonDuck, a déclaré la société, mais cela ne signifie pas que ces dernières sont inoffensives.

Les malwares LemonDuck et LemonCat ont également de nombreux points communs.

Les infrastructures Duck et Cat utilisent des sous-domaines similaires, et elles utilisent les mêmes noms de tâches, tels que ‘blackball’. D’autant plus que les deux infrastructures utilisent les mêmes composants packagés hébergés sur des sites similaires ou identiques pour leurs scripts d’extraction.

Microsoft a déclaré qu’il prévoyait de publier un article complémentaire présentant « une analyse technique approfondie des actions malveillantes qui suivent une infection LemonDuck » ainsi que « des conseils pour enquêter sur les attaques LemonDuck, ainsi que des recommandations d’atténuation pour renforcer les défenses contre ces attaques », à certains indiquer.

Mais pour l’instant, LemonDuck et LemonCat sont remarquables en raison de leur large portée, de leur capacité à affecter plusieurs systèmes d’exploitation, de leurs méthodes de propagation sur les réseaux et de leur fonctionnement continu bien après leur découverte initiale. (Ou au moins la première publication détaillant la méthode d’attaque de LemonDuck.)

Le malware pourrait également avoir un impact notable sur le matériel qu’il infecte. L’extraction de crypto-monnaie peut affecter les performances d’autres logiciels, mettre une pression supplémentaire sur les composants et entraîner une utilisation accrue de l’énergie. Les opérateurs de LemonDuck reçoivent le Monero extrait sans avoir à faire face à ces inconvénients.

Donc, le meilleur scénario avec une infection LemonDuck ou LemonCat est que cela provoque des problèmes matériels pour exploiter Monero. C’est mieux que le pire des cas, qui laisse le système ouvert à d’autres exploits et vole des informations et des informations d’identification, mais pas de beaucoup.

Voir l’article complet de Microsoft : https://www.microsoft.com/security/blog/2021/07/22/when-coin-miners-evolve-part-1-exposing-lemonduck-and-lemoncat-modern-mining-malware-infrastructure