Le botnet de mining de crypto-monnaies Lemon Duck enregistre un pic d’activité

Mise à Jour:

Le botnet peut causer de graves dommages au matériel, drainer des ressources et augmenter les coûts de consommation d’énergie

Ecran de crypto-mineur
Les défenseurs doivent être vigilants et repérer la menace, disent les chercheurs

Cisco Talos Intelligence a enregistré une augmentation de l’activité du botnet Lemon Duck, qui mine des crypto-monnaies, depuis la fin du mois d’août 2020. Les chercheurs en cybersécurité ont révélé que ces acteurs utilisent des techniques qui sont susceptibles d’être repérées par les spécialistes de la sécurité mais qui ne sont pas immédiatement évidentes pour les utilisateurs finaux afin de voler des ressources informatiques.

Le botnet Lemon Duck, qui est actif depuis décembre dernier, utilise une charge utile d’extraction de crypto-monnaie qui vole des ressources informatiques pour miner de la crypto-monnaie Monero. Les acteurs utilisent diverses méthodes comme l’envoi de fichiers RTF infectés par courrier électronique, le psexec, le WMI et d’autres techniques dans le cadre d’une campagne complexe utilisant le botnet multimodulaire pour se propager sur un réseau.

Le rapport de Cisco Talos explique que des outils comme Mimikatz, qui aident le botnet à augmenter le nombre de systèmes participant à son pool de mining, sont utilisés lors de récentes attaques. Au cours des six dernières semaines, une forte augmentation de l’activité du botnet suggère que le malware a infiltré beaucoup plus de machines et exploite leurs ressources pour miner Monero.

« Le botnet Lemon Duck a plus de moyens de se propager sur un réseau que la plupart des logiciels malveillants que nous voyons. Au cours de nos recherches, nous avons enregistré 12 vecteurs d’infection indépendants », explique le rapport. « Nous avons récemment constaté une recrudescence du nombre de requêtes DNS liées à ses serveurs de commande et de contrôle et de minage », indique l’étude.

Le botnet peut causer de sérieux dommages au matériel car il draine les ressources de l’ordinateur en faisant tourner en permanence l’unité centrale pour effectuer l’extraction. L’augmentation de la consommation d’énergie et la production de chaleur qui en résulte peuvent entraîner un incendie dans les cas graves.

« L’infection commence par un script de chargement PowerShell, qui est copié à partir d’autres systèmes infectés, y compris des courriels ou des clés USB externes », explique le rapport. « L’acteur utilise également plusieurs outils d’exploitation des vulnérabilités telles que SMBGhost et Eternal Blue », ajoute-t-il

Le botnet possède des modules exécutables qui sont téléchargés et pilotés par le module principal. Le module de diffusion d’e-mails utilise des objets liés au COVID-19 pour attirer les victimes avec une pièce jointe infectée envoyée par Outlook à chaque contact du carnet d’adresses d’un utilisateur déjà infecté.

Les réseaux zombies qui minent des crypto-monnaies peuvent être coûteux, tant en termes de cycles de calcul volés que de coûts de consommation d’énergie. Les experts en sécurité doivent surveiller le comportement des systèmes au sein de leur réseau pour identifier ces menaces, explique le rapport.

« Si les organisations doivent se concentrer sur la protection de leurs actifs les plus précieux, elles ne doivent pas ignorer les menaces qui ne visent pas particulièrement leur infrastructure », conclut-il.

Écrit par Harshini Nag

Investir est spéculatif. Lorsque vous investissez votre capital est à risque. Ce site n’est pas destiné à être utilisé dans juridictions dans lesquelles les transactions ou les investissements décrits sont interdits et ne doivent être utilisés par des personnes et des moyens légalement autorisés. Votre investissement peut ne pas être admissible à protection des investisseurs dans votre pays ou votre pays de résidence, veuillez effectuer votre propre contrôle préalable. Ce site Web est gratuit pour vous, mais nous pouvons recevoir des commissions des sociétés que nous proposons sur ce site. Cliquez ici pour plus d’informations.