Dogecoin les cas d'utilisation ont apparemment évolué avec le temps. La pièce meme a été initialement créée comme une blague en 2014, devenue l'une des crypto-monnaies les plus chaudes en 2015, est devenue Le préféré d'Elon Musk en 2018, et faisait partie d'un Défi TikTok dès 2020.
Mais les choses ont pris une tournure plus sombre pour la monnaie; Les pirates utilisent maintenant le jeton pour contrôler les botnets de crypto-minage, a déclaré la société de sécurité Intezer Labs dans un rapport cette semaine.
Un tel DOGE, beaucoup de hack
Intezer Labs, une société d'analyse et de détection de logiciels malveillants basée à New York, a découvert que des pirates informatiques utilisant la fameuse porte dérobée «Doki» utilisaient des portefeuilles Dogecoin pour masquer leur présence en ligne.
La société a déclaré qu'elle analysait Doki, un virus cheval de Troie, depuis janvier 2020, mais a récemment découvert son utilisation dans l'installation et la maintenance de logiciels malveillants de crypto-minage plus tard.
Attaque Doki non détectée infectant activement les personnes vulnérables #Docker serveurs dans le cloud. Attacker utilise un nouvel algorithme de génération de domaine (DGA) basé sur un portefeuille numérique DogeCoin pour générer des domaines C&C. Recherche par @ NicoleFishi19 ainsi que @kajilot https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) 28 juillet 2020
Un hacker - qui passe par Ngrok - avait découvert une méthode pour utiliser les portefeuilles Dogecoin pour infiltrer les serveurs Web, a noté la société. L'utilisation est un premier cas de ce type pour la pièce de monnaie meme, qui est par ailleurs connue à des fins plus amusantes.
Intezer Labs a découvert que Doki utilisait une méthode auparavant non documentée pour contacter son opérateur en abusant de la blockchain Dogecoin d'une manière unique en order pour générer dynamiquement ses adresses de domaine de contrôle et de commande (C&C).
L'utilisation de transactions Dogecoin permettait aux attaquants de modifier ces adresses C&C sur tous les ordinateurs ou serveurs affectés qui exécutaient Ngrok's Monero bots miniers. Cela a permis au ou aux hackers de masquer leur emplacement en ligne, empêchant ainsi la détection par les autorités judiciaires et cybercriminelles.
Intezer Labs a expliqué dans son rapport:
«Alors que certaines souches de logiciels malveillants se connectent à des adresses IP brutes ou à des URL codées en dur incluses dans leur code source, Doki a utilisé un algorithme dynamique pour déterminer l'adresse de contrôle et de commande (C&C) à l'aide de l'API Dogecoin.»
La société a ajouté que ces étapes signifiaient que les entreprises de sécurité devaient accéder au portefeuille Dogecoin du pirate informatique pour éliminer Doki, ce qui était «impossible» sans connaître les clés privées du portefeuille.
Utiliser DOGE pour contrôler les serveurs
L'utilisation de Doki a permis à Ngrok de contrôler leurs serveurs Alpine Linux nouvellement déployés pour exécuter leurs opérations de crypto-minage. Ils ont utilisé le service Doki pour déterminer et modifier l'URL du serveur de contrôle et de commande (C&C) dont il avait besoin pour se connecter pour de nouvelles instructions.
Les chercheurs d'Intezer ont procédé à une ingénierie inverse du processus, en détaillant les étapes initiales, comme indiqué dans l'image ci-dessous:
Lorsque ce qui précède était entièrement exécuté, le gang Ngrok pouvait changer les serveurs de commande de Doki en effectuant une seule transaction à partir d'un portefeuille Dogecoin qu'il contrôlait.
Cependant, cela ne faisait que partie d'une attaque plus large. Une fois que le gang Ngrok a eu accès aux serveurs de commande, ils ont déployé un autre botnet pour miner Monero. Dogecoin et Doki servaient uniquement de pont d'accès, comme ZDNet le chercheur Catalin Cimpanu a tweeté:
Quoi qu'il en soit, Doki, tout en utilisant un DGA C&C unique, fait en fait partie d'une chaîne d'attaque plus large - à savoir l'équipe de crypto-minage de Ngrok.
Ces pirates ciblent des API Docker mal configurées, qu'ils utilisent pour déployer de nouvelles images Alpine Linux pour exploiter Monero (Doki est la partie d'accès ici) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) 28 juillet 2020
Intezer a déclaré que Doki était actif depuis janvier, mais n'a pas été détecté sur les 60 logiciels d'analyse «VirusTotal» utilisés sur les serveurs Linux.
À partir d'aujourd'hui, l'attaque est toujours active à ce jour. Les opérateurs de logiciels malveillants et les «gangs de crypto-minage» utilisent activement la méthode, a déclaré Intezer.
Mais ce n'est pas un gros souci. La firme affirme que prévenir l'exposition au virus est facile; il suffit de s'assurer que toutes les interfaces de processus d'application (API) critiques sont entièrement hors ligne et ne sont connectées à aucune application qui interagit avec Internet.
