Il team Microsoft di threat intelligence per la suite di sicurezza 365 Defender ha recentemente pubblicato un interessante documento che mostra come funzionano le moderne infrastrutture di mining malware, ossia quei malware che una volta insediatisi nel sistema ne sfruttano la CPU per guadagnare in criptovalute.

E se siete tra quelli che pensano “c’è di peggio che consumare tanta CPU inconsapevolmente” aspettate di leggere questo documento.

Il caso di studio si riferisce a LemonDuck ed il titolo del post sul blog è “Quando i minatori di monete si evolvono…“.
Il dettagliato documento mostra come oggi, oltre a utilizzare le risorse per le “tradizionali” attività di bot e mining, LemonDuck ruba anche le credenziali, rimuove anche i controlli di sicurezza, si diffonde anche via e-mail. Insomma, si muove lateralmente, e alla fine lascia cadere più strumenti per le attività gestite dall’uomo.

La minaccia di LemonDuck per le imprese sta anche nel fatto che è una minaccia multipiattaforma. È una delle poche famiglie di malware bot documentate che prende di mira i sistemi Linux e i dispositivi Windows. Utilizza una vasta gamma di meccanismi di diffusione – e-mail di phishing, exploit, dispositivi USB, brute forcing, tra gli altri – e ha dimostrato di poter approfittare rapidamente di notizie, eventi, o il rilascio di nuovi exploit per eseguire campagne efficaci.

In particolare, e questa cosa stupisce veramente molto se si pensa a quanto è grottesca, LemonDuck rimuove gli altri aggressori da un dispositivo compromesso sbarazzandosi del malware concorrente, prevenendo qualsiasi nuova infezione, patchando le stesse vulnerabilità che ha usato per ottenere l’accesso. Mica male, eh?

LemonDuck si diffonde in una varietà di modi, ma i due metodi principali sono precedenti bot e campagne e-mail.

LemonDuck funge da caricatore per molte altre attività successive, ma una delle sue funzioni principali è quella di diffondersi compromettendo altri sistemi. Fin dalla sua prima apparizione, gli operatori di LemonDuck hanno sfruttato le scansioni contro i dispositivi Windows e Linux per SMB, Exchange, SQL, Hadoop, REDIS, RDP, o altri dispositivi così detti edge che potrebbero essere vulnerabili a brute forcing delle password o vulnerabilità delle applicazioni.

Altri metodi comuni di infezione includono il movimento all’interno dell’ambiente compromesso, anche attraverso USB e unità collegate. Questi processi sono spesso avviati automaticamente e si sono verificati costantemente durante l’intero funzionamento di LemonDuck.

In tutto questo c’è solo una buona notizia, che guardando lo schema della diffusione di questo mostro:

l’Italia non è tra i paesi più colpiti.

Siamo tutti più tranquilli adesso, vero? 🙂

Raoul Scarazzini

Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.