Компьютерный вирус LemonDuck продолжает эволюционировать

Майнинговый вирус LemonDuck остается серьёзной угрозой для корпораций, использующих операционные системы Windows и Linux, говорится в статье опубликованной аналитической группой Microsoft 365, 22 июля на официальном сайте Microsoft.

LemonDuck — это высокоэффективная, активно обновляемая вредоносная программа поражающая пользовательские и серверные компьютеры под управлениям ОС Windows и Linux. Помимо основной задачи — майнинга криптовалют, вирус был снабжен дополнительными операциями: кража учетных данных, отключение систем безопасности, отключение программного обеспечения, автоматическое распространение по электронной почте.

Вирус распространяется при помощи фишинговых электронных писем, эксплойтов, USB устройств, через установочные пакеты инфицированного программного обеспечения. Особенностью LemonDuck является его борьба с конкурентами. Попадая на компьютер, конкуренты удаляются, а уязвимости, которые были использованы для инфицирования ОС, исправляются. Таким образом предотвращается последующие возможные заражения.

По началу вирус распространялся в основном на территории Китая, затем его широко начали обнаруживать на территории США, России, Германии, Великобритании, Индии, Кореи, Канаде, Франции и Вьетнаме.

Первое упоминание LemonDuck датируется маем 2019 года. Тогда использовались скрипты PowerShell, которые запускали дополнительные сценарии и запланированные задачи. Задачи при помощи инструмента PCASTLE запускался эксплойт EternalBlue SMB. Подобные модели поведения вируса можно наблюдать и сегодня.

Попав через Outlook в систему, вирус сканирует учетные данные и отправляет всем доступным контактам фишинговые письма с прикреплёнными зараженными файлами. После чего все отправленные письма удаляются из локальной системы.

В 2020 и 2021 годах LemonDuck продолжает атаковать незащищенных пользователей. Небольшие изменения в коде указывают на то, что разработка вируса продолжается.