Dogecoin di i casi d'uso si sono evoluti nel tempo. La moneta meme è stata inizialmente creata come uno scherzo nel 2014, trasformata in una delle criptovalute più calde nel 2015, è diventata Il preferito di Elon Musk nel 2018, e faceva parte di a Sfida TikTok in 2020.
Ma le cose hanno preso una svolta più oscura per la valuta; gli hacker stanno ora utilizzando il token per controllare le botnet di mining di criptovalute, ha dichiarato la società di sicurezza Intezer Labs in un rapporto questa settimana.
Tale DOGE, molto hack
Intezer Labs, una società di analisi e rilevamento malware con sede a New York, ha scoperto che gli hacker che utilizzano la famigerata backdoor "Doki" hanno utilizzato i portafogli Dogecoin per mascherare la loro presenza online.
La società ha dichiarato di aver analizzato Doki, un virus trojan, dal gennaio 2020, ma recentemente ha scoperto il suo utilizzo nell'installazione e nella gestione del malware di crittografia in seguito.
Attacco Doki non rilevato che attivamente infetta i vulnerabili #Docker server nel cloud. Attacker utilizza un nuovo Domain Generation Algorithm (DGA) basato su un portafoglio digitale DogeCoin per generare domini C&C. Ricerca di @ NicoleFishi19 ed @kajilot https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) Luglio 28, 2020
Un hacker - che va da Ngrok - aveva scoperto un metodo per utilizzare i portafogli Dogecoin per infiltrarsi nei server Web, ha osservato la società. L'utilizzo è un primo caso del genere per la moneta meme, che è altrimenti noto per scopi più divertenti.
Intezer Labs ha scoperto che Doki utilizzava un metodo precedentemente non documentato per contattare il proprio operatore abusando della blockchain Dogecoin in un modo unico in order per generare dinamicamente i suoi indirizzi di dominio di controllo e comando (C&C).
L'utilizzo delle transazioni Dogecoin ha consentito agli aggressori di alterare questi indirizzi C&C su qualsiasi computer o server interessato che gestiva il server di Ngrok Monero bot di mining. Ciò ha permesso agli hacker di mascherare la loro posizione online, impedendo così il rilevamento da parte delle autorità legali e informatiche.
Intezer Labs ha spiegato nel suo rapporto:
"Mentre alcuni ceppi di malware si collegano a indirizzi IP grezzi o URL hardcoded inclusi nel loro codice sorgente, Doki ha utilizzato un algoritmo dinamico per determinare l'indirizzo di controllo e comando (C&C) utilizzando l'API Dogecoin".
La ditta ha aggiunto che questi passaggi significano che le compagnie di sicurezza avevano bisogno di accedere al portafoglio Dogecoin dell'hacker per abbattere Doki, il che era "impossibile" senza conoscere le chiavi private del portafoglio.
Utilizzo di DOGE per controllare i server
L'utilizzo di Doki ha consentito a Ngrok di controllare i server Alpine Linux appena distribuiti per eseguire le operazioni di cripto-mining. Hanno utilizzato il servizio Doki per determinare e modificare l'URL del server di controllo e comando (C&C) necessario per la connessione per nuove istruzioni.
I ricercatori di Intezer hanno decodificato il processo, descrivendo in dettaglio i passaggi iniziali, come mostrato nell'immagine seguente:
Quando quanto sopra è stato completamente eseguito, la banda di Ngrok potrebbe cambiare i server di comando di Doki effettuando una singola transazione all'interno di un portafoglio Dogecoin che controllavano.
Tuttavia, questo era solo parte di un attacco più grande. Una volta che la banda di Ngrok ottenne l'accesso ai server di comando, dispiegarono un'altra botnet per estrarre Monero. Dogecoin e Doki servivano solo come ponte d'accesso, come ZDNet il ricercatore Catalin Cimpanu ha twittato:
Ad ogni modo, Doki, mentre utilizza un C&C DGA unico, fa in realtà parte di una catena di attacchi più ampia, ovvero l'equipaggio di cripto-mining di Ngrok.
Questi hacker prendono di mira API Docker non configurate, che usano per distribuire nuove immagini Alpine Linux al mio Monero (Doki è la parte di accesso qui) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) Luglio 28, 2020
Intezer ha dichiarato che Doki è attivo da questo gennaio, ma non è stato rilevato su tutti i 60 software di scansione "VirusTotal" utilizzati sui server Linux.
Ad oggi, l'attacco è ancora attivo a partire da oggi. Gli operatori di malware e le "bande di cripto-mining" hanno attivamente utilizzato il metodo, ha affermato Intezer.
Ma non è una grande preoccupazione. La ditta afferma che prevenire l'esposizione al virus è facile; è sufficiente assicurarsi che tutte le interfacce di processo (API) delle applicazioni critiche siano completamente offline e non connesse a qualsiasi applicazione che interagisce con Internet.
Piace quello che vedi? Iscriviti per aggiornamenti quotidiani.
Fonte: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/