ActualitésCryptominingVirus

Le malware Cryptomineur Lemon_Duck cible désormais les appareils Linux via SSH

Le malware de cryptomining Lemon_Duck a été mis à jour pour compromettre les machines Linux via des attaques par force brute sur SSH, pour exploiter les systèmes Windows vulnérables SMBGhost et pour infecter les serveurs exécutant des instances Redis et Hadoop.

Lemon_Duck (repéré l’année dernière par Trend Micro et examiné plus en détail par SentinelOne ) est connu pour cibler les réseaux d’entreprise, obtenir un accès via le service MSSQL via brut force ou encore via le protocol SMB en utilisant EternalBlue.

Une fois qu’il a infecté un appareil avec succès, le logiciel malveillant utile les ressources de la machine pour fabriquer de la cryptomonaie.

Il attaque maintenant les machines Linux

Pour trouver les périphériques Linux qu’il peut infecter dans le cadre d’attaques par force brute SSH, Lemon_Duck utilise un module d’analyse de port qui recherche les systèmes Linux connectés à Internet et qui écoute sur le port 22 qui est le port par défault pour la connexion à distance via SSH.

Lorsqu’il les trouve, il lance une attaque par force brute sur ces machines. Si l’attaque réussit, les attaquants téléchargent et exécutent un shellcode malveillant.

Pour s’assurer qu’il survivra également entre les redémarrages du système, le logiciel malveillant modifiera la crontab afin de se relancer à chaque redémarrage.

Lemon_Duck recherche ensuite d’autres périphériques Linux sur lesquels déposer son malware en récupérant les informations d’authentification SSH disponible dans le fichier /.ssh/known_hosts.

Ce qui est dingue, c’est que Lemon_Duck va également vérifier qu’il n’t a pas d’autres cryptomineurs sur la machine. Si c’est le cas il les désactivera afin d’avoir toutes les ressources pour lui.

zerovirus

Professionnel de informatique et passionné par la sécurité informatique, je travaille depuis plus de 15ans avec des particuliers et professionnels dans le but les former et de sécuriser leur environnement informatique.

Articles similaires

Bouton retour en haut de la page

Fatal error: Uncaught TypeError: implode(): Argument #2 ($array) must be of type ?array, string given in /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/vendor/matthiasmullie/minify/src/CSS.php:528 Stack trace: #0 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/vendor/matthiasmullie/minify/src/CSS.php(528): implode(Array, '|') #1 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/vendor/matthiasmullie/minify/src/CSS.php(314): MatthiasMullie\Minify\CSS->shortenColors('.arqam-widget-c...') #2 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/vendor/matthiasmullie/minify/src/Minify.php(111): MatthiasMullie\Minify\CSS->execute(NULL) #3 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/inc/classes/optimization/CSS/class-minify.php(175): MatthiasMullie\Minify\Minify->minify() #4 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/inc/classes/optimization/CSS/class-minify.php(128): WP_Rocket\Optimization\CSS\Minify->minify('/home/clients/6...', '/home/clients/6...') #5 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/inc/classes/optimization/CSS/class-minify.php(66): WP_Rocket\Optimization\CSS\Minify->replace_url('https://www.zer...') #6 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/inc/classes/subscriber/Optimization/class-abstract-minify-subscriber.php(85): WP_Rocket\Optimization\CSS\Minify->optimize('<!DOCTYPE html>...') #7 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/inc/classes/subscriber/Optimization/class-minify-css-subscriber.php(44): WP_Rocket\Subscriber\Optimization\Minify_Subscriber->optimize('<!DOCTYPE html>...') #8 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-includes/class-wp-hook.php(308): WP_Rocket\Subscriber\Optimization\Minify_CSS_Subscriber->process('<!DOCTYPE html>...') #9 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-includes/plugin.php(205): WP_Hook->apply_filters('<!DOCTYPE html>...', Array) #10 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/inc/classes/Buffer/class-optimization.php(94): apply_filters('rocket_buffer', '<!DOCTYPE html>...') #11 [internal function]: WP_Rocket\Buffer\Optimization->maybe_process_buffer('<!DOCTYPE html>...', 9) #12 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-includes/functions.php(5279): ob_end_flush() #13 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-includes/class-wp-hook.php(308): wp_ob_end_flush_all('') #14 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-includes/class-wp-hook.php(332): WP_Hook->apply_filters(NULL, Array) #15 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-includes/plugin.php(517): WP_Hook->do_action(Array) #16 /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-includes/load.php(1124): do_action('shutdown') #17 [internal function]: shutdown_action_hook() #18 {main} thrown in /home/clients/6b2a64de70d730cb2cd05fb6192bdebe/zerovirus.fr/www/wp-content/plugins/wp-rocket/vendor/matthiasmullie/minify/src/CSS.php on line 528