Microsoft waarschuwt nadrukkelijk voor de malware LemonDuck. Deze richt zich niet meer alleen op Windows maar ook op Linux. Daarbij heeft dit van oorsprong cryptocurrency botnet zijn mogelijkheden fors uitgebreid.

LemonDuck is malware die al enkele jaren bestaat. Het werd in mei 2019 voor het eerst opgemerkt. Oorspronkelijk had het als doel systemen bitcoins te laten minen. Vervolgens breidde het zijn mogelijkheden uit en werkte het ook als malware loader. Nu richt Lemon Duck zich ook op het stelen van persoonsgegevens, het verwijderen van beveiligingscontroles. Hij verspreidt zich via e-mail, USB-apparaten en exploits en kan tools plaatsen voor misbruik waarbij acties van mensen nodig zijn. Daarbij richt de malware zich ook op Linux, waarschuwt Microsoft.

Oude lekken

LemonDuck maakt gebruik van nieuwe maar ook heel nadrukkelijk van oude lekken. Dat doet het vooral tijdens periodes dat andere grote lekken in het nieuws komen omdat daar dan veel meer aandacht naar toe gaat van beveiligers. Het verwijdert malware van concurrenten en voorkomt dat die nieuwe besmettingen kunnen realiseren door de lekken die het heeft gebruikt om binnen te komen te patchen.

De malware scant zowel Windows- als Linux-systemen op open of zwak geauthenticeerde SMB, Exchange, SQL, Hadoop, REDIS, RDP of andere edge-apparaten die kwetsbaar zouden kunnen zijn ten aanzien van het gebruik van wachtwoorden. Daarnaast misbruikt het onder meer bestaande lekken die de gebruikers niet gepatcht hebben, zals EternalBlue, BlueKeep, diverse lekken in ProxyLogon en SMBGhost.