Dogecoin's Οι περιπτώσεις χρήσης έχουν φαινομενικά εξελιχθεί με την πάροδο του χρόνου. Το meme coin δημιουργήθηκε αρχικά ως αστείο το 2014, μετατράπηκε σε ένα από τα πιο καυτά κρυπτονομίσματα το 2015 και έγινε Ο αγαπημένος του Έλον Μασκ το 2018, και ήταν μέρος του α Πρόκληση TikTok στο 2020.
Αλλά τα πράγματα έχουν πάρει μια πιο σκοτεινή τροπή για το νόμισμα. Οι χάκερ χρησιμοποιούν τώρα το διακριτικό για τον έλεγχο των botnet εξόρυξης κρυπτονομισμάτων, δήλωσε η εταιρεία ασφαλείας Intezer Labs σε αναφέρουν αυτή την εβδομάδα.
Τέτοιο DOGE, πολύ χακάρισμα
Η Intezer Labs, μια εταιρεία ανάλυσης και ανίχνευσης κακόβουλου λογισμικού με έδρα τη Νέα Υόρκη, ανακάλυψε ότι χάκερ που χρησιμοποιούν το περίφημο backdoor «Doki» χρησιμοποιούν πορτοφόλια Dogecoin για να κρύψουν την παρουσία τους στο διαδίκτυο.
Η εταιρεία είπε ότι αναλύει το Doki, έναν ιό Trojan, από τον Ιανουάριο του 2020, αλλά πρόσφατα ανακάλυψε τη χρήση του στην εγκατάσταση και τη συντήρηση κακόβουλου λογισμικού εξόρυξης κρυπτονομισμάτων αργότερα.
Μη ανιχνευμένη επίθεση Doki που μολύνει ενεργά ευάλωτα άτομα #Λιμενεργάτης διακομιστές στο cloud. Το Attacker χρησιμοποιεί έναν νέο αλγόριθμο δημιουργίας τομέα (DGA) που βασίζεται σε ένα ψηφιακό πορτοφόλι DogeCoin για τη δημιουργία τομέων C&C. Έρευνα από @NicoleFishi19 και @kajilot https://t.co/CS1aK5DXjv
— Intezer (@IntezerLabs) Ιούλιος 28, 2020
Ένας χάκερ —που λέει ο Ngrok— είχε αποκαλύψει μια μέθοδο χρήσης πορτοφολιών Dogecoin για διείσδυση σε διακομιστές Ιστού, σημείωσε η εταιρεία. Η χρήση είναι μια πρώτη τέτοια περίπτωση για το meme coin, το οποίο αλλιώς είναι γνωστό για πιο αστείους σκοπούς.
Η Intezer Labs ανακάλυψε ότι η Doki χρησιμοποιούσε μια προηγουμένως μη τεκμηριωμένη μέθοδο για να επικοινωνήσει με τον χειριστή της κάνοντας κατάχρηση της αλυσίδας μπλοκ Dogecoin με μοναδικό τρόπο στογια να δημιουργήσει δυναμικά τις διευθύνσεις τομέα ελέγχου και εντολών (C&C).
Η χρήση συναλλαγών Dogecoin επέτρεψε στους επιτιθέμενους να αλλάξουν αυτές τις διευθύνσεις C&C σε οποιονδήποτε επηρεαζόμενο υπολογιστή ή διακομιστή που εκτελούσε το Ngrok's Monero ρομπότ εξόρυξης. Κάτι τέτοιο επέτρεψε στους χάκερ/ους να κρύψουν την τοποθεσία τους στο διαδίκτυο, αποτρέποντας έτσι τον εντοπισμό από τις νομικές και κυβερνοεγκληματικές αρχές.
Η Intezer Labs εξήγησε στην έκθεσή της:
"Ενώ ορισμένα στελέχη κακόβουλου λογισμικού συνδέονται με ακατέργαστες διευθύνσεις IP ή URL με σκληρό κώδικα που περιλαμβάνονται στον πηγαίο κώδικα τους, η Doki χρησιμοποίησε έναν δυναμικό αλγόριθμο για να προσδιορίσει τη διεύθυνση ελέγχου και εντολής (C&C) χρησιμοποιώντας το Dogecoin API."
Η εταιρεία πρόσθεσε αυτά τα βήματα σήμαιναν ότι οι εταιρείες ασφαλείας έπρεπε να έχουν πρόσβαση στο πορτοφόλι Dogecoin του χάκερ για να καταργήσουν το Doki, κάτι που ήταν «αδύνατο» χωρίς να γνωρίζουν τα ιδιωτικά κλειδιά του πορτοφολιού.
Χρήση του DOGE για τον έλεγχο των διακομιστών
Η χρήση του Doki επέτρεψε στον Ngrok να ελέγχει τους πρόσφατα αναπτυγμένους διακομιστές του Alpine Linux για την εκτέλεση των λειτουργιών εξόρυξης κρυπτονομισμάτων. Χρησιμοποίησαν την υπηρεσία Doki για να προσδιορίσουν και να αλλάξουν τη διεύθυνση URL του διακομιστή ελέγχου και εντολών (C&C) που χρειαζόταν για τη σύνδεση για νέες οδηγίες.
Οι ερευνητές της Intezer αναμόρφωσαν τη διαδικασία, περιγράφοντας λεπτομερώς τα αρχικά βήματα όπως φαίνεται στην παρακάτω εικόνα:
Όταν τα παραπάνω εκτελούνταν πλήρως, η συμμορία Ngrok μπορούσε να αλλάξει τους διακομιστές εντολών του Doki πραγματοποιώντας μία μόνο συναλλαγή μέσα από ένα πορτοφόλι Dogecoin που έλεγχε.
Ωστόσο, αυτό ήταν μόνο μέρος μιας μεγαλύτερης επίθεσης. Μόλις η συμμορία Ngrok απέκτησε πρόσβαση σε διακομιστές εντολών, ανέπτυξε ένα άλλο botnet για την εξόρυξη του Monero. Το Dogecoin και το Doki χρησίμευαν μόνο ως γέφυρα πρόσβασης, όπως ZDNet Ο ερευνητής Catalin Cimpanu έγραψε στο Twitter:
Ούτως ή άλλως, η Doki, ενώ χρησιμοποιεί ένα μοναδικό C&C DGA, είναι στην πραγματικότητα μέρος μιας μεγαλύτερης αλυσίδας επίθεσης - δηλαδή του πληρώματος κρυπτοεξόρυξης Ngrok.
Αυτοί οι χάκερ στοχεύουν εσφαλμένα διαμορφωμένα API Docker, τα οποία χρησιμοποιούν για την ανάπτυξη νέων εικόνων Alpine Linux για την εξόρυξη του Monero (το Doki είναι το τμήμα πρόσβασης εδώ) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) Ιούλιος 28, 2020
Η Intezer είπε ότι το Doki ήταν ενεργό από αυτόν τον Ιανουάριο, αλλά παρέμεινε απαρατήρητο και στα 60 λογισμικά σάρωσης "VirusTotal" που χρησιμοποιούνται σε διακομιστές Linux.
Από σήμερα, η επίθεση είναι ακόμη ενεργή από σήμερα. Οι χειριστές κακόβουλου λογισμικού και οι «συμμορίες εξόρυξης κρυπτονομισμάτων» χρησιμοποιούν ενεργά τη μέθοδο, δήλωσε ο Intezer.
Αλλά δεν είναι μεγάλη ανησυχία. Η εταιρεία λέει ότι η πρόληψη της έκθεσης στον ιό είναι εύκολη. Απλώς πρέπει να διασφαλιστεί ότι τυχόν κρίσιμες διεπαφές διεργασιών εφαρμογών (API) είναι πλήρως εκτός σύνδεσης και δεν συνδέονται με καμία εφαρμογή που αλληλεπιδρά με το Διαδίκτυο.
Να σου αρέσει ό, τι βλέπεις? Εγγραφείτε για καθημερινές ενημερώσεις.
Πηγή: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/