Dogecoin Los casos de uso aparentemente han evolucionado con el tiempo. La moneda meme fue creada inicialmente como una broma en 2014, convertida en una de las criptomonedas más populares en 2015, se convirtió en El favorito de Elon Musk en 2018, y formó parte de un Desafío TikTok en el 2020.
Pero las cosas han dado un giro más oscuro para la moneda; los piratas informáticos ahora están utilizando el token para controlar las botnets de cripto minería, dijo la firma de seguridad Intezer Labs en un reporte esta semana.
Tal perro, mucho truco
Intezer Labs, una empresa de análisis y detección de malware con sede en Nueva York, descubrió que los piratas informáticos que utilizan la infame puerta trasera "Doki" han estado utilizando billeteras Dogecoin para enmascarar su presencia en línea.
La firma dijo que había estado analizando Doki, un virus troyano, desde enero de 2020, pero recientemente descubrió su uso en la instalación y mantenimiento de malware de cripto minería más tarde.
El ataque no detectado de Doki infecta activamente a los vulnerables #Estibador servidores en la nube. El atacante utiliza un novedoso algoritmo de generación de dominios (DGA) basado en una billetera digital DogeCoin para generar dominios C&C. Investigación de @ NicoleFishi19 y @kajilot https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) 28 de Julio de 2020
Un pirata informático, que se hace llamar Ngrok, había descubierto un método para usar billeteras Dogecoin para infiltrarse en servidores web, señaló la empresa. El uso es un primer caso de este tipo para la moneda meme, que de otro modo se conoce para fines más divertidos.
Intezer Labs descubrió que Doki estaba utilizando un método previamente indocumentado para contactar a su operador al abusar de la cadena de bloques Dogecoin de una manera única en order para generar dinámicamente sus direcciones de dominio de control y comando (C&C).
El uso de transacciones de Dogecoin permitió a los atacantes alterar estas direcciones C&C en cualquier computadora o servidor afectado que ejecutara Ngrok's monero minería bots. Al hacerlo, los piratas informáticos pueden enmascarar su ubicación en línea, evitando así la detección por parte de las autoridades legales y cibercriminales.
Intezer Labs explicó en su informe:
"Si bien algunas cepas de malware se conectan a direcciones IP sin procesar o URL codificadas incluidas en su código fuente, Doki usó un algoritmo dinámico para determinar la dirección de control y comando (C&C) usando la API de Dogecoin".
La empresa agregó que estos pasos significaban que las empresas de seguridad necesitaban acceder a la billetera Dogecoin del pirata informático para eliminar Doki, lo cual era "imposible" sin conocer las claves privadas de la billetera.
Usando DOGE para controlar servidores
El uso de Doki permitió a Ngrok controlar sus servidores Alpine Linux recién implementados para ejecutar sus operaciones de cripto minería. Utilizaron el servicio Doki para determinar y cambiar la URL del servidor de control y comando (C&C) que necesitaba para conectarse para recibir nuevas instrucciones.
Los investigadores de Intezer realizaron ingeniería inversa del proceso, detallando los pasos iniciales como se muestra en la imagen a continuación:
Cuando lo anterior se ejecutó por completo, la pandilla Ngrok podía cambiar los servidores de comando de Doki al hacer una sola transacción desde una billetera Dogecoin que controlaban.
Sin embargo, esto fue solo parte de un ataque mayor. Una vez que la pandilla Ngrok obtuvo acceso a los servidores de comando, desplegaron otra botnet para extraer Monero. Dogecoin y Doki solo sirvieron como puente de acceso, ya que ZDNet El investigador Catalin Cimpanu tuiteó:
De todos modos, Doki, aunque usa un C&C DGA único, en realidad es parte de una cadena de ataque más grande, a saber, el equipo de cripto minería de Ngrok.
Estos hackers se dirigen a las API de Docker mal configuradas, que utilizan para implementar nuevas imágenes de Alpine Linux para extraer Monero (Doki es la parte de acceso aquí) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) 28 de Julio de 2020
Intezer dijo que Doki ha estado activo desde este enero, pero no se detectó en los 60 programas de escaneo "VirusTotal" utilizados en los servidores Linux.
A partir de hoy, el ataque todavía está activo a partir de hoy. Los operadores de malware y las "pandillas de criptominería" han estado utilizando activamente el método, dijo Intezer.
Pero no es una gran preocupación. La firma dice que prevenir la exposición al virus es fácil; uno solo necesita asegurarse de que cualquier interfaz de proceso de aplicación (API) crítica esté completamente fuera de línea y no esté conectada a ninguna aplicación que interactúe con Internet.
¿Te gusta lo que ves? Suscríbase para recibir actualizaciones diarias.
Fuente: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/