skip to Main Content

Cybercrime, campagna Lemon Duck con l’esca del COVID-19

Coronavirus-ursnif-gozi-oms-who-italia-jameswt-dll-lemonduck-cryptominer-sophos-immuni-certagid-italia-cybercrime-cybersecurity-app-mobile-malware-covid19-italia-videochiamate-cybersecurity-cybercrime-sicurezza-privacy-malware-ransomware-rat-cyberespionage-spionaggio.jpeg

Sophos: nuova campagna del cybercrime per distribuire Lemon Duck con l’esca del coronavirus. Il CSIRT-Italia: Il cryptominer, una volta infettata la vittima, cerca di propagarsi attraverso Outlook

Il cybercrime sta cercando di diffondere il cryptominer Lemon Duck con una campagna malspam legata al Covid-19 e con alleati “armati” di script malevoli o exploit RTF. L’obiettivo è infettare il computer della vittima, sfruttando la vulnerabilità CVE-2017-8570. Lo hanno scoperto gli esperti di cyber security di Sophos. L’attacco, una volta riuscito, cerca di propagarsi rapidamente tramite la rete interna alla ricerca di ulteriori risorse dell’organizzazione da poter includere nelle attività di mining di cripto valuta. Per proseguire la propria opera di diffusione, sottolinea il CSIRT-Italia, il malware recupera i contatti di Outlook dalla macchina compromessa inviando email con allegati dannosi alla lista di contatti. I criminali cibernetici, peraltro, cercano di sfruttare diverse vulnerabilità tra cui il bug SMBGhost (CVE-2020-0796) per inviare pacchetti appositamente predisposti a server SMBv3. Nelle fasi di attacco utilizzano anche codice di exploit per EternalBlue e un’implementazione di Mimikatz. 

Gli esperti di cyber security: Il malware ha anche altre capacità. Dal poter lanciare attacchi brite-force su SHH alla ricerca di eventuali “concorrenti” da eliminare

Gli esperti di cyber security ricordano che Lemon Duck ha anche altre capacità: dalla possibilità di lanciare attacchi tipo brute-force su SSH alla ricerca di eventuali ulteriori cryptominer frutto di precedenti attacchi. Ciò per eliminare i malware, non dovendo condividere con essi le risorse. Inoltre, lil malware è in grado di individuare istanze Redis e YARN esposte in rete e configurati in maniera non sicura. Peraltro, il code malevolo è continuamente aggiornato dai creatori del cybercrime ed è fileless. Ciò rimane nella memoria residenze e non lascia tracce nel filesystem della vittima. Infine, in relazione a questa ultima campagna, è programmato per inviare messaggi che hanno come oggetto frasi selezionate da una lista predefinita come: “The Truth of COVID-19”, “COVID -19 nCov Special info WHO”, o “HEALTH ADVISORY: CORONA VIRUS”.

Back To Top