dogecoin s usecases har tilsyneladende udviklet sig over tid. Meme-mønten blev oprindeligt skabt som en joke i 2014, forvandlet til en af de hotteste kryptovalutaer i 2015, blev Elon Musks favorit i 2018, og var en del af en TikTok udfordring i 2020.
Men tingene har taget en mørkere drejning for valutaen; hackere bruger nu tokenet til at kontrollere crypto mining botnets, sagde sikkerhedsfirmaet Intezer Labs i en indberette i denne uge.
Sådan DOGE, meget hack
Intezer Labs, et New York-baseret malwareanalyse- og detektionsfirma, fandt ud af, at hackere, der brugte den berygtede "Doki"-bagdør, har brugt Dogecoin-punge til at maskere deres online tilstedeværelse.
Firmaet sagde, at det havde analyseret Doki, en trojansk virus, siden januar 2020, men opdagede for nylig brugen af den til at installere og vedligeholde crypto-mining malware senere.
Uopdaget Doki-angreb, der aktivt inficerer sårbare #Docker servere i skyen. Angriberen bruger en ny Domain Generation Algorithm (DGA) baseret på en DogeCoin digital tegnebog til at generere C&C-domæner. Forskning af @NicoleFishi19 , @kajilot https://t.co/CS1aK5DXjv
— Intezer (@IntezerLabs) Juli 28, 2020
En hacker - som går af Ngrok - havde afsløret en metode til at bruge Dogecoin-punge til at infiltrere webservere, bemærkede firmaet. Brugen er en første sådan sag for meme-mønten, som ellers er kendt for sjovere formål.
Intezer Labs fandt ud af, at Doki brugte en tidligere udokumenteret metode til at kontakte sin operatør ved at misbruge Dogecoin blockchain på en unik måde i order til dynamisk at generere dens kontrol- og kommandodomæneadresser (C&C).
Brug af Dogecoin-transaktioner gjorde det muligt for angriberne at ændre disse C&C-adresser på alle berørte computere eller servere, der kørte Ngroks Monero minerobotter. Dette gjorde det muligt for hackerne/hackerne at maskere deres onlineplacering og dermed forhindre opdagelse af juridiske og cyberkriminelle myndigheder.
Intezer Labs forklarede i sin rapport:
"Mens nogle malware-stammer forbinder til rå IP-adresser eller hårdkodede URL'er inkluderet i deres kildekode, brugte Doki en dynamisk algoritme til at bestemme kontrol- og kommandoadressen (C&C) ved hjælp af Dogecoin API."
Firmaet tilføjede, at disse trin betød, at sikkerhedsfirmaer skulle have adgang til hackerens Dogecoin-pung for at fjerne Doki, hvilket var "umuligt" uden at kende tegnebogens private nøgler.
Brug af DOGE til at styre servere
Brugen af Doki gjorde det muligt for Ngrok at kontrollere deres nyligt installerede Alpine Linux-servere til at køre deres krypto-minedrift. De brugte Doki-tjenesten til at bestemme og ændre URL'en på den kontrol- og kommandoserver (C&C), den skulle bruge for at oprette forbindelse til nye instruktioner.
Intezer-forskere reverse-manipulerede processen og beskriver de indledende trin som vist på billedet nedenfor:
Da ovenstående var fuldført, kunne Ngrok-banden ændre Dokis kommandoservere ved at foretage en enkelt transaktion fra en Dogecoin-pung, de kontrollerede.
Dette var dog blot en del af et større angreb. Da Ngrok-banden fik adgang til kommandoservere, installerede de endnu et botnet til at mine Monero. Dogecoin og Doki tjente kun som adgangsbro, som ZDNet Forsker Catalin Cimpanu tweetede:
Under alle omstændigheder er Doki, mens han bruger en unik C&C DGA, faktisk en del af en større angrebskæde - nemlig Ngrok-kryptominebesætningen.
Disse hackere målretter mod fejlkonfigurerede Docker API'er, som de bruger til at implementere nye Alpine Linux-billeder til at mine Monero (Doki er adgangsdelen her) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) Juli 28, 2020
Intezer sagde, at Doki har været aktiv siden januar, men forblev uopdaget på alle 60 "VirusTotal"-scanningssoftware, der blev brugt på Linux-servere.
Fra i dag er angrebet stadig aktivt i dag. Malware-operatører og "crypto-mining-bander" har aktivt brugt metoden, sagde Intezer.
Men det er ikke nogen stor bekymring. Firmaet siger, at det er let at forhindre eksponering for virussen; man skal bare sikre sig, at alle kritiske applikationsprocesgrænseflader (API'er) er helt offline og ikke forbundet til nogen applikation, der interagerer med internettet.
Ligesom hvad du ser? Abonner på daglige opdateringer.
Kilde: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/