GETOVERX FORUM Community Support
LemonDuck – Cryptominer – 2019 - Printable Version

+- GETOVERX FORUM Community Support (https://forum.getoverx.com)
+-- Forum: Malware Docs (https://forum.getoverx.com/forumdisplay.php?fid=12)
+--- Forum: Cryptojackers (https://forum.getoverx.com/forumdisplay.php?fid=27)
+--- Thread: LemonDuck – Cryptominer – 2019 (/showthread.php?tid=38)

LemonDuck – Cryptominer – 2019 - mrwebfeeder - 11-29-2025

Nombre:
LemonDuck (también referenciado como “Lemon Duck” en algunos reportes; campaña tipo botnet con comportamiento tipo worm)

Categoría:
Cryptominer (Monero/XMR) / Botnet con propagación lateral

Fecha de descubrimiento:
c. 2019 (observado ampliamente en campañas 2019–2021, con actividad posterior en variantes)

Comportamiento (lo que hace y archivos que infecta):
- LemonDuck es una operación de cryptojacking que busca minar Monero (XMR) en sistemas Windows (y entornos mixtos en campañas), con una fuerte orientación a movimiento lateral y propagación dentro de redes.
- Cómo llega al equipo (vectores típicos):
- Explotación de SMB/RCE en redes con hosts vulnerables o mal segmentados (campañas han aprovechado servicios expuestos y entornos sin parches).
- Abuso de credenciales débiles (por ejemplo, contraseñas comunes) y uso de herramientas administrativas para propagarse.
- En algunas campañas, también se ha observado distribución por spam/phishing y/o ejecución inicial en servidores (dependiendo del entorno).
- Qué hace una vez ejecutado:
- Descarga y ejecuta componentes (scripts + binarios) para instalar el minero y mantenerlo activo.
- Implementa movimiento lateral usando técnicas de administración remota del propio Windows (por ejemplo: WMI, tareas programadas remotas, ejecución por servicios/SMB) para comprometer más equipos.
- Realiza acciones para evadir o dificultar la remoción:
- Terminación de procesos “competidores” (otros mineros) y, en algunos casos, intentos de degradar/alterar controles de seguridad.
- Ocultamiento de procesos mediante inyección, nombres similares a procesos legítimos, ejecución desde rutas temporales o uso de “watchdogs” (relanzadores).
- Impacto:
- CPU anormalmente alta (y en algunos casos, picos constantes), caída de desempeño en estaciones/servidores.
- Incremento de costos (si aplica a entornos cloud/VDI) y reducción de disponibilidad de servicios.

Persistencia:
- Persistencia típica observada en campañas de LemonDuck:
- Tareas programadas (locales y a veces remotas) para relanzar miner/loader al inicio o periódicamente.
- Servicios instalados con nombres que intentan pasar por legítimos, usados como “watchdog”.
- Claves Run/RunOnce en el Registro o accesos directos de inicio (según variante).
- Copias de componentes en rutas como %TEMP%, %APPDATA%, %ProgramData% o directorios de sistema con nombres engañosos.

Hash real de referencia (SHA-256):
Code:
6715f186e4dde484a897ce406f476192eb3cd0bc3bc3760bfe63ddead87c622e

Mitigación con GetOverX Shield v3.0.2.0:
  • Antivirus:
    - Ejecutar Full Scan en el host afectado y cuarentenar/eliminar:
    - Binarios del miner, loaders y “watchdogs” (relanzadores).
    - Scripts descargados (BAT/PS1/VBS) y artefactos en %TEMP%, %APPDATA%, %LOCALAPPDATA% y C:\ProgramData\.
    - Repetir un segundo escaneo tras limpiar persistencia para confirmar que no reaparecen componentes (señal de reinfección o persistencia activa).

  • Firewall:
    - Restringir propagación y superficie SMB:
    - Bloquear/segmentar SMB (445) entre segmentos que no lo requieran (especialmente entre estaciones de trabajo).
    - Permitir SMB solo donde sea estrictamente necesario (servidores de archivos, DCs, administración controlada).
    - Aplicar control de salida (egress):
    - Bloquear conexiones salientes no justificadas desde hosts comprometidos para cortar pools de minería y descargas de payloads.
    - Si hay múltiples equipos afectados, considerar aislar temporalmente el/los segmentos hasta erradicar la propagación.

  • HIPS/EDR:
    - Reglas de detección recomendadas:
    - CPU anómala sostenida por procesos no esperados, especialmente en servidores.
    - Cadena de ejecución sospechosa:
    - cmd.exe/powershell.exe iniciados desde procesos de servicio o desde rutas temporales.
    - Creación masiva de tareas programadas (locales o remotas) y servicios nuevos sin aprobación.
    - Indicadores de movimiento lateral:
    - WMI remoto, ejecución remota, creación de servicios remotos, uso inusual de credenciales administrativas en la red.
    - Señales de ocultamiento:
    - procesos que se reinician al matarlos (watchdog), binarios en rutas temporales con nombres legítimos, inyección.
    - Respuesta automática sugerida:
    - Kill process del miner y su watchdog.
    - Block by hash de binarios identificados.
    - Registro del árbol de procesos + eventos de red para hunting y contención.

  • Sandbox:
    - Usar Sandbox para analizar:
    - Scripts/archivos encontrados en el host (PS1/BAT/EXE) antes de ejecutarlos para “validar”.
    - Instaladores o adjuntos sospechosos si se sospecha entrada por spam/descarga.
    - Señales clave:
    - Descarga de binarios, creación de tareas/servicios, y actividad de red compatible con minería.

  • Medidas posteriores al incidente:
    - Corregir causa raíz y evitar reinfección:
    - Aplicar parches del sistema operativo y endurecer SMB (deshabilitar SMBv1 si aún existe, aplicar segmentación y mínimos privilegios).
    - Revisar credenciales: cambiar contraseñas administrativas, deshabilitar cuentas no usadas y activar políticas anti-fuerza bruta.
    - Revisar persistencia y artefactos:
    - Tareas programadas, servicios, Run/RunOnce, binarios en ProgramData/Temp.
    - Hunting lateral:
    - Buscar en otros hosts eventos similares (CPU alta, tareas/servicios nuevos, ejecución remota) para detectar propagación.

Notas opcionales:
- LemonDuck suele comportarse como campaña de cryptomining con capacidades de propagación (tipo worm) y técnicas de persistencia múltiples; en entornos empresariales el mayor riesgo es la expansión interna (lateral movement) y el consumo sostenido de recursos.