A partire da fine di agosto, alcuni ricercatori che si occupano di cybersecurity hanno registrato un aumento dell'attività di una botnet per l'estrazione di crypto chiamata "Lemon Duck": è in circolazione dal dicembre 2018, tuttavia nelle ultime sei settimane la sua diffusione è notevolmente aumentata. Ciò significa che il malware si è infiltrato in molti altri hardware allo scopo di minare la criptovaluta Monero.
Una ricerca condotta dal Talos Intelligence Group di Cisco suggerisce che difficilmente i normali utenti si rendono conto di essere stati colpiti da Lemon Duck; tuttavia, è probabile che venga rivelato dagli amministratori di rete.
Il malware di crypto mining può persino causare danni fisici all'hardware, poiché utilizza costantemente la CPU e la GPU della macchina generando enormi quantità di calore, oltre a incrementare i consumi energetici.
Il malware prende di mira i computer con Windows 10, dato che sfrutta le vulnerabilità presenti in alcuni servizi del sistema operativo Microsoft. Il malware viene diffuso tramite e-mail con un titolo legato al COVID-19 e un file (infetto) in allegato. Una volta che il sistema è stato colpito, utilizza Outlook per inviarsi automaticamente a tutti i contatti dell'utente.
Le mail contengono due file dannosi: il primo è un documento RTF chiamato readme.doc, che sfrutta una vulnerabilità di esecuzione del codice a distanza di Microsoft Office. Il secondo file si chiama readme.zip, e contiene uno script che scarica ed esegue il loader di Lemon Duck.
Una volta installato, questo sofisticato software termina una serie di servizi di Windows e scarica altri strumenti per connessioni stealth al resto della rete. Lemon Duck ha infettato anche sistemi Linux, ma le principali vittime rimangono gli utenti Windows.
Il malware estrae Monero in quanto questa crypto ha un forte focus sulla privacy, il che la rende molto facile da nascondere. I ricercatori non hanno precisato chi siano i criminali dietro Lemon Duck, anche se pare essere legato ad altri malware detti "Beapy", che hanno avuto forte diffusione in Asia orientale nel giugno 2019.
Il mese scorso, gli utenti del wallet di Coinbase sono stati presi di mira da un nuovo malware Android progettato per rubare i codici Google Authenticator.