Zerovirus

Le malware de cryptomining Lemon_Duck a été mis à jour pour compromettre les machines Linux via des attaques par force brute sur SSH, pour exploiter les systèmes Windows vulnérables SMBGhost et pour infecter les serveurs exécutant des instances Redis et Hadoop.

Lemon_Duck (repéré l’année dernière par Trend Micro et examiné plus en détail par SentinelOne ) est connu pour cibler les réseaux d’entreprise, obtenir un accès via le service MSSQL via brut force ou encore via le protocol SMB en utilisant EternalBlue.

Une fois qu’il a infecté un appareil avec succès, le logiciel malveillant utile les ressources de la machine pour fabriquer de la cryptomonaie.

Il attaque maintenant les machines Linux

Pour trouver les périphériques Linux qu’il peut infecter dans le cadre d’attaques par force brute SSH, Lemon_Duck utilise un module d’analyse de port qui recherche les systèmes Linux connectés à Internet et qui écoute sur le port 22 qui est le port par défault pour la connexion à distance via SSH.

Lorsqu’il les trouve, il lance une attaque par force brute sur ces machines. Si l’attaque réussit, les attaquants téléchargent et exécutent un shellcode malveillant.

Pour s’assurer qu’il survivra également entre les redémarrages du système, le logiciel malveillant modifiera la crontab afin de se relancer à chaque redémarrage.

Lemon_Duck recherche ensuite d’autres périphériques Linux sur lesquels déposer son malware en récupérant les informations d’authentification SSH disponible dans le fichier /.ssh/known_hosts.

Ce qui est dingue, c’est que Lemon_Duck va également vérifier qu’il n’t a pas d’autres cryptomineurs sur la machine. Si c’est le cas il les désactivera afin d’avoir toutes les ressources pour lui.