Recientemente se ha detectado un aumento del malware minero Lemon Duck. El software se expande del correo electrónico y tiene como objetivo equipos con el sistema operativo Windows 10.
El equipo de expertos en seguridad informática de Talos Intelligence Group ha lanzado un estudio que informa sobre la creciente actividad del malware Lemon Duck. Desde finales del mes de agosto los investigadores han detectado un aumento de los terminales infectados.
Lemon Duck surgió a finales del año 2018, el malware se dirige a equipos con el sistema operativo Windows 10, ya que explota diferentes vulnerabilidades de sistema de Microsoft. Se ejecuta de forma inadvertida en los equipos con el objetivo la criptomoneda Monero. Cuando se diseñan malwares como este, se escoge Monero como el activo debido a su diseño basado en anonimato y la facilidad de ofuscar este.
La ejecución de Lemon Duck suele causar daños grabes en el equipo, ya que se deriva la mayoría de los recursos del PC al minado. Durante la ejecución, la CPU y GPU trabajan a ritmos cercanos al 100% para obtener la máxima cantidad de token. Esto no solo causará daños por un uso indebido, también conlleva un gasto notorio de energía, haciendo que se sufran temperaturas muy altas, pudiendo quemarse.
El crecimiento de Lemon Duck
Aún que el malware se lanzase en 2018, las últimas 6 semanas ha sido el período en el que más actividad se está detectando. Este aumento de la actividad se traduce en que muchos más equipos han sido infectados y lo preocupante es que, lo más probable, es que los propios usuarios no se hayan dado cuenta.
Los expertos de Talos han llegado a la conclusión de que únicamente los usuarios conocedores de este tipo de ataques, como los administradores de red, se hayan percatado en caso de estar infectados. El resto de usuarios difícilmente habrán detectado el malware en sus equipos.
El aumento de la actividad de Lemon Duck se debe a un nuevo método de difusión. Este siempre se ha difundido a través del correo electrónico o bajo la descarga directa enmascarado en páginas web scam o phishing. Actualmente, los desarrolladores han querido aprovecharse de la preocupación por el Covid-19 y han enmascarado el malware con en un correo con información preventiva acerca del virus.
Dentro de los correos, se encuentran dos archivos, en primer lugar veremos un documento RTF de nombre «readme.doc«, este aprovecha una vulnerabilidad de la programación de Microsoft Office para la ejecución remota del malware. En segundo lugar, encontramos un archivo llamado «readme.zip» que es el propio scrip que descarga y ejecuta el malware.
Cuando ya se han ejecutado estos archivos y el malware ya es parte del sistema, este se encarga de finalizar diferentes procesos de Windows. Estos procesos ayudan a detectar este tipo de ataque y por otro lado se reducen recursos para derivarlos al minado. Lemon Duck también descarga diferentes herramientas a través de comandos para facilitar las conexiones furtivas al equipo.
El malware utiliza el correo electrónico para seguir expandiéndose, es por esto que en el momento que una vez que ha infectado un equipo, este se encarga de auto enviarse a todos los contactos del usuario a través de Outlook. Los equipos con Windows 10 son los objetivos predilectos, sin embargo también ataca a equipos con Linux.
Los investigadores de Talos no dieron inflación acerca de los desarrolladores del malware, ya se de forma intencionado o porqué se desconoce su origen. El malware es similar al que atacó Asia en el 2019 conocido como «Beapy», es posible que ambos hayan sido desarrollados del mismo grupo de hackers.
Swguir leyendo acerca de un nuevo malware conocido como «Anubis» y porqué Microsoft lo ve tan peligroso, es posible que te parezca interesante.