LemonDuck

¿Qué es?

LemonDuck, también conocido como Lemon_Duck y Lemon Duck, es una botnet de tipo troyano minero con capacidades de gusano, que se enfoca en comprometer dispositivos para aprovechar sus recursos, minar criptomonedas Monero (XMR) y habilitar intrusiones posteriores mediante el despliegue de herramientas adicionales. Además, está compuesta por dispositivos infectados con su malware homónimo que proporcionan a los atacantes una infraestructura de mando y control (C2) con puertas traseras para mantener su persistencia, descargar módulos secundarios que amplíen sus capacidades y realizar otras actividades maliciosas de manera distribuida.

¿Qué hace?

Esta botnet tiene capacidad para realizar las siguientes acciones:

• Descarga, instala y ejecuta un paquete de programas que recibe el nombre de XMRig para minar criptomonedas Monero en los dispositivos infectados para beneficio económico de los atacantes.
• Crea persistencia a través de tareas programadas y suscripciones WMI.
• Ejecuta cargas útiles fileless basadas en PowerShell en entornos Windows.
• Elimina y desactiva controles de seguridad, como defensas del sistema y antimalware, para evitar su detección y posible eliminación.
• Roba credenciales y facilita actividades para realizar movimientos laterales y acciones para mantener el control y ampliar su impacto.
• Se propaga dentro de la red (capacidades de gusano) para desplegar componentes maliciosos y herramientas adicionales, mediante la explotación de vulnerabilidades de los sistemas y ataques de fuerza bruta contra servicios expuestos .
• Ataca entornos Linux y contenedores tipo Docker en campañas de criptominería.
• Descarga e instala otras herramientas y programas maliciosos como parte de su ciclo de intrusión.
• Se comunica con servidores de mando y control (C2) para recibir instrucciones y payloads.

Sistemas afectados

Los principales dispositivos afectados son:

• Dispositivos con sistemas Windows.
• Dispositivos con sistemas Linux (donde se incluyen los contenedores Docker).

¿Cómo me infecta?

Esta botnet se distribuye a través de dispositivos de almacenamiento USB infectados, a través de campañas de phishing con archivos adjuntos maliciosos, a través de ejecutables maliciosos disfrazados de instaladores legítimos, a través de la explotación de vulnerabilidades (como EternalBlue y ProxyLogon, entre otras), a través de ataques de fuerza bruta y abuso de credenciales, a través de sitios web comprometidos o controlados por los atacantes y a través de otros troyanos que actúan como droppers y descargan su malware sin el conocimiento de los usuarios.

Cómo desinfectar mi equipo

Las principales firmas de antivirus contienen reglas para detectar y eliminar el malware de esta botnet: accede a los cleaners.

Más información

• When coin miners evolve, Part 1: Exposing LemonDuck and LemonCat, modern mining malware infrastructure (Microsoft)
• When coin miners evolve, Part 2: Hunting down LemonDuck and LemonCat attacks (Microsoft)
• Aumento de actividad de botnet Lemon Duck (CSIRT Financiero)
• Lemon Duck spreads its wings: Actors target Microsoft Exchange servers, incorporate new TTPs (Cisco Talos)
• New Lemon Duck variants exploiting Microsoft Exchange Server (Sophos)
• LemonDuck Targets Docker for Cryptomining Operations (CrowdStrike)
• Fileless.LEMONDUCK (Trend Micro)
• Trojan.LemonDuck (Malwarebytes)
• Lemonduck (Malpedia)