Les cyber-pirates à l’origine du logiciel malveillant LemonDuck sont passé à la vitesse supérieure en lui ajoutant de nouvelles fonctionnalités pour le rendre beaucoup plus dangereux. Le logiciel malveillant LemonDuck est très connu pour attaquer les « botnets » et la crypto-monnaie. Toutefois, il se développe très activement : pendant que ses méfaits dans les deux domaines précités se poursuivent, LemonDuck se dote de la capacité à franchir les contrôles de sécurité sur les ordinateurs infectés, se déplaçant rapidement à l’intérieur des réseaux et y répandant un arsenal pirate complet afin d’exfiltrer et de voler les données confidentielles. Ce rançongiciel se propage aussi par mail.
Les cybercriminels qui l’ont créé sont connus pour profiter des dernières nouvelles et des événements récents : ils inventent en effet des mails hameçons convaincants pour diffuser leur logiciel pirate, le plus souvent à travers des pièces jointes corrompues au format Microsoft Office. Cependant, la menace principale tire également profit des nouvelles avancées des ordinateurs infectés, ainsi que de certaines failles plus anciennes. L’année dernière, les cybercriminels ont répandu LemonDuck à travers des mails rédigés sur le thème de la Covid-19 ; et tandis que l’hameçonnage est toujours à l’œuvre pour distribuer le logiciel malveillant, la menace principale a exploité les brèches de Microsoft Exchange récemment mises en lumière pour accéder aux systèmes informatiques, ainsi que l’a rapporté Microsoft dans une récente alerte de sécurité.
LemonDuck est un logiciel malveillant quelque peu atypique, car il est relativement rare pour ces programmes d’être capables d’attaquer à la fois les systèmes Windows et Linux. Les cybercriminels aiment avoir le contrôle exclusif sur les ordinateurs infectés et se débarrassent eux-mêmes des cyber-pirates qui leur font concurrence, le cas échéant. Pour s’assurer qu’aucun logiciel malveillant rival n’est installé sur un ordinateur qu’ils ont ciblé, LemonDuck comble automatiquement la faille qui lui a permis de s’infiltrer dans le système.
Si LemonDuck est installé sur un ordinateur qui utilise Microsoft Outlook, un script informatique s’enclenche en utilisant les identifiants volés pour accéder à la boîte mail. Des copies sont ensuite envoyées par hameçonnage à tous les contacts enregistrés dans la messagerie via la duplication d’un mail précédemment émis, avec le logiciel malveillant en pièce jointe.
LemonDuck a été détecté pour la première fois en mai 2019 avec des cyber-attaques en Chine ; il est à présent distribué beaucoup plus largement. On le détecte aujourd’hui aux États-Unis, au Royaume-Uni, en Russie, en France, en Inde, en Allemagne, en Corée, au Canada et au Vietnam.
Microsoft a identifié deux structures opérantes bien distinctes qui se servent de LemonDuck, ce qui signifierait que le logiciel malveillant est utilisé par différents groupes, chacun ayant ses propres objectifs. L’infrastructure « LemonCat » a servi dans une campagne pirate exploitant les faiblesses du serveur Microsoft Exchange pour installer des « portes dérobées » permettant le vol d’identifiants et de données, ainsi que la propagation d’autres variantes de rançongiciels comme Ramnit.
Bloquer les cyber-attaques de ces logiciels malveillants nécessite une approche multiple. Un filtre anti-spam avancé comme SpamTitan permettrait à l’utilisateur de bloquer des mails hameçons servant à installer ces programmes pirates. SpamTitan scanne également les messages envoyés pour éviter de répandre des variantes de logiciels malveillants capables de s’en prendre à la liste des contacts enregistrés. Comme ce sont les failles informatiques qui sont exploitées pour accéder aux réseaux, il est essentiel d’avoir une solide politique de gestion des correctifs et de les appliquer dès leur mise en service. Un antivirus doit être installé et automatiquement mis à jour. Un filtre internet est aussi fortement recommandé pour bloquer les téléchargements de logiciels malveillants depuis le web.
Pour plus d’informations sur les moyens d’améliorer vos défenses contre LemonDuck et les autres cyber-menaces, contactez l’équipe de TitanHQ. Les services de sécurité email SpamTitan et internet WebTitan sont disponibles en version d’essai gratuite et peuvent être installés et configurés pour vous afin de protéger vos ordinateurs en moins d’une heure.