Dogecoin's Anwendungsfälle scheinen sich im Laufe der Zeit weiterentwickelt zu haben. Die Meme-Münze wurde ursprünglich als Witz im Jahr 2014 erstellt, wurde zu einer der heißesten Kryptowährungen im Jahr 2015, wurde Elon Musks Favorit im Jahr 2018 und war Teil eines TikTok Herausforderung .
Aber für die Währung haben die Dinge eine dunklere Wendung genommen; Hacker nutzen das Token jetzt, um Crypto-Mining-Botnets zu steuern, sagte die Sicherheitsfirma Intezer Labs in einem berichten diese Woche.
Solch ein Hund, viel Hack
Intezer Labs, ein in New York ansässiges Unternehmen für Malware-Analyse und -Erkennung, fand heraus, dass Hacker, die die berüchtigte Hintertür „Doki“ verwenden, Dogecoin-Geldbörsen verwenden, um ihre Online-Präsenz zu maskieren.
Das Unternehmen gab an, seit Januar 2020 Doki, einen Trojaner-Virus, analysiert zu haben, entdeckte jedoch kürzlich seine Verwendung bei der Installation und Wartung von Crypto-Mining-Malware.
Unentdeckter Doki-Angriff infiziert aktiv Verwundbare #Docker Server in der Cloud. Angreifer verwenden einen neuartigen Domain Generation Algorithm (DGA), der auf einer digitalen DogeCoin-Geldbörse basiert, um C & C-Domains zu generieren. Forschung von @ NicoleFishi19 und @ Kajilot https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) 28. Juli 2020
Ein Hacker - der von Ngrok geht - hatte eine Methode entdeckt, mit der Dogecoin-Geldbörsen zum Infiltrieren von Webservern verwendet werden können. Die Verwendung ist ein erster solcher Fall für die Meme-Münze, die sonst für witzigere Zwecke bekannt ist.
Intezer Labs fand heraus, dass Doki eine zuvor nicht dokumentierte Methode verwendete, um seinen Betreiber zu kontaktieren, indem er die Dogecoin-Blockchain auf einzigartige Weise in o missbrauchteum seine Steuerungs- und Befehlsdomänenadressen (C & C) dynamisch zu generieren.
Durch die Verwendung von Dogecoin-Transaktionen konnten die Angreifer diese C & C-Adressen auf allen betroffenen Computern oder Servern ändern, auf denen Ngroks ausgeführt wurden Monero Mining Bots. Auf diese Weise konnten die Hacker ihren Online-Standort maskieren und so die Entdeckung durch legale und Cyberkriminelle verhindern.
Intezer Labs erklärte in seinem Bericht:
"Während einige Malware-Stämme eine Verbindung zu unformatierten IP-Adressen oder fest codierten URLs herstellen, die in ihrem Quellcode enthalten sind, verwendete Doki einen dynamischen Algorithmus, um die Steuerungs- und Befehlsadresse (C & C) mithilfe der Dogecoin-API zu bestimmen."
Die Firma fügte hinzu, dass Sicherheitsfirmen auf die Dogecoin-Brieftasche des Hackers zugreifen mussten, um Doki auszuschalten, was „unmöglich“ war, ohne die privaten Schlüssel der Brieftasche zu kennen.
Verwenden von DOGE zur Steuerung von Servern
Durch die Verwendung von Doki konnte Ngrok die neu bereitgestellten Alpine Linux-Server für die Ausführung ihrer Crypto-Mining-Vorgänge steuern. Sie verwendeten den Doki-Dienst, um die URL des Steuerungs- und Befehlsservers (C & C) zu ermitteln und zu ändern, der für die Verbindung für neue Anweisungen erforderlich war.
Intezer-Forscher haben den Prozess rückentwickelt und die ersten Schritte wie in der folgenden Abbildung dargestellt detailliert beschrieben:
Wenn das oben Genannte vollständig ausgeführt wurde, konnte die Ngrok-Bande die Befehlsserver von Doki ändern, indem sie eine einzelne Transaktion innerhalb einer von ihnen kontrollierten Dogecoin-Brieftasche durchführte.
Dies war jedoch nur ein Teil eines größeren Angriffs. Nachdem die Ngrok-Bande Zugang zu Befehlsservern erhalten hatte, stellten sie ein weiteres Botnetz bereit, um Monero abzubauen. Dogecoin und Doki dienten nur als Zugangsbrücke, als ZDNet Der Forscher Catalin Cimpanu twitterte:
Wie auch immer, Doki verwendet zwar eine einzigartige C & C-DGA, ist jedoch Teil einer größeren Angriffskette - nämlich der Ngrok-Crypto-Mining-Crew.
Diese Hacker zielen auf falsch konfigurierte Docker-APIs ab, mit denen sie neue Alpine Linux-Images bereitstellen, um Monero abzubauen (Doki ist hier der Zugriffsteil). pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) 28. Juli 2020
Laut Intezer ist Doki seit Januar dieses Jahres aktiv, blieb jedoch bei allen 60 auf Linux-Servern verwendeten "VirusTotal" -Scansoftware unentdeckt.
Bis heute ist der Angriff noch aktiv. Malware-Betreiber und „Crypto-Mining-Banden“ haben die Methode aktiv eingesetzt, so Intezer.
Aber es ist keine große Sorge. Die Firma sagt, dass es einfach ist, die Exposition gegenüber dem Virus zu verhindern. Man muss nur sicherstellen, dass alle kritischen Anwendungsprozessschnittstellen (APIs) vollständig offline sind und nicht mit einer Anwendung verbunden sind, die mit dem Internet interagiert.
Gefällt Ihnen was Sie sehen? Abonnieren Sie tägliche Updates.
Quelle: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/