Malware LemonCat

LemonCat es una nueva operación amenazante que involucra al malware LemonDuck ya detectado. La amenaza LemonDuck se detectó por primera vez en mayo de 2019 y se ha utilizado activamente desde entonces. El enfoque inicial fue establecer capacidades de minería criptográfica en los sistemas infectados. Este ataque ha ganado popularidad junto con el advenimiento de la esfera de las criptomonedas entre la población general. Según un informe publicado por 365 Defender Threat Intelligence Team de Microsoft, hay otra operación que entrega LemonDuck que está activa con LemonCat al mismo tiempo. Sin embargo, existen suficientes diferencias para justificar la separación de las dos operaciones.

Características de LemonCat

Si bien las versiones más recientes de LemonDuck han expandido las funcionalidades amenazantes que incluyen rutinas de robo de credenciales, entre otras mejoras significativas, LemonCat va aún más lejos y causa un daño potencial aún mayor a los sistemas infectados. Los vectores de infección iniciales utilizados para entregar la amenaza incluyen ataques RDP de fuerza bruta y explotación de vulnerabilidades de borde.

Una vez que han obtenido acceso al sistema, los operadores de LemonCat implementan la amenaza LemonDuck, pero también lanzan cargas útiles de troyanos de puerta trasera en objetivos seleccionados en esta etapa temprana del ataque. Luego, la amenaza de malware procede a escanear el sistema en busca de cargas útiles de la competencia que ya pueden estar presentes y luego las desactiva. También puede desactivar ciertos productos de seguridad anti-malware. Las copias de seguridad creadas por el servicio predeterminado de Windows Shadow Volume Copy se eliminarán junto con la recuperación del sistema. Aquí, las víctimas de LemonCat también pueden estar sujetas a cargas útiles de malware adicionales como Ramnit. Los ciberdelincuentes pueden implementar amenazas con la tarea de realizar acciones específicas, según su objetivo particular. Se ha observado que LemonCat elimina el malware Ramnit entre otras amenazas.

LemonCat puede moverse dentro de la organización comprometida lateralmente o buscar nuevas víctimas a través de campañas de correo electrónico de phishing para expandirse aún más.

Geolocalización de víctimas

Los primeros ataques con LemonDuck se dirigieron principalmente a entidades con sede en China. Sin embargo, desde entonces, el alcance de las operaciones que involucran la amenaza se ha expandido enormemente. Tanto las infraestructuras LemonDuck como LemonCat analizadas en el informe tienen un alcance global. Se han detectado víctimas en Estados Unidos, Rusia, China, Alemania, Reino Unido, India, Corea, Canadá, Francia y Vietnam. El hecho de que el malware sea capaz de infectar tanto dispositivos Windows como Linux también ayuda a impactar en un grupo mucho mayor de víctimas potenciales.