Фахівці з цифрової безпеки компанії Microsoft попереджають про поширення вірусу LemonDuck. Як тільки він потрапляє на комп'ютер, то створює мережу ботнет для майнінгу криптовалюти Monero. Паралельно вірус не забуває красти облікові дані і відключати захисні функції, надаючи доступ до ПК хакерам, які створили його. Відзначається, що LemonDuck вражає не тільки ПК на базі ОС Windows, але також і на Linux.
Як пише Microsoft, вірус поширюється через фішингові листи, флеш-накопичувачі USB і вразливості системи безпеки. Що стосується останнього вектора атаки, то LemonDuck використовує такі вразливості:
- VE-2017-0144 (EternalBlue);
- CVE-2017-8464 (LNK RCE);
- CVE-2019-0708 (BlueKeep);
- CVE-2020-0796 (SMBGhost);
- CVE-2021-26855 (ProxyLogon);
- CVE-2021-26857 (ProxyLogon);
- CVE-2021-26858 (ProxyLogon);
- CVE-2021-27065 (ProxyLogon).
"Потрапивши на комп'ютер через поштову скриньку Outlook, в рамках своєї звичайної поведінки LemonDuck намагається запустити скрипт, що краде інформацію про облікові записи, присутні на пристрої. Потім скрипт дає поштовій скриньці команди на розсилку копій вірусу у складі фішингового повідомлення всім записаним контактам. Після того, як листи будуть відіслані, вірус себе маскує, видаляючи всі розіслані ним вихідні повідомлення ", - пояснила команда Microsoft 365 Defender Threat Intelligence Team.