安全公司SO磷上周警告称，功能强大的挖掘程序Lemon_Duck正变得越来越复杂，现在不仅可以感染Windows平台，还可以将目标转移到Linux平台和云计算应用程序上。

去年出现的柠檬鸭主要用于感染企业网络，以便在企业内部系统上植入门罗硬币(Monero)挖掘程序。根据趋势技术分析，它使用多种无文档技术，使用多个恶意PowerShell脚本程序下载，仅在内存中执行，而最后一个PowerShell脚本程序描述所有恶意程序，包括使用EternalBlue攻击程序捕获SMB(ServerMessageBlock)。暴力破解系统，执行散列传递(PassTheHash)攻击，以及下载各种奖励等。

索福斯称它是世界上最先进的挖掘程序之一，因为Lemon_Duck的作者们继续更新其程序代码，以使其社交程序攻击能够跟上当前事件，并提高其避免被检测的能力。最新的Lemon_Duck不仅针对Windows平台，而且还将目标转向Linux平台、Redis数据库和Hadoop集群。

柠檬鸭最危险的特征之一应该是它的传播能力。新版本的柠檬鸭使用新冠肺炎(新冠肺炎)作为主要电子邮件，诱使用户点击其他文件。成功感染该系统后，它将根据受害者的Outlook通讯录向所有受害者的联系人发送恶意电子邮件，使受害者电脑成为柠檬_鸭子的超级传播者。

此外，新版本的Lemon_Duck已经可以感染那些执行Linux的系统，通过内置的传输端口扫描模块搜索使用SSH协议登录的Linux系统的传输端口，并且一旦找到目标对象，就会立即执行SSH暴力破解攻击。

Lemon_Duck还扫描网络，查找由配置错误或无需认证的Hadoop集群公开的Redis分布式数据库，以便在这些系统上安装挖掘软件。

索弗斯在GitHub上发布指示器，可以用来识别它是否被柠檬_Duck入侵，以供外部参考。