Dogecoin's usecases zijn schijnbaar in de loop van de tijd geëvolueerd. De meme-munt werd aanvankelijk als grap in 2014 gecreëerd en werd in 2015 een van de populairste cryptocurrencies. De favoriet van Elon Musk in 2018, en maakte deel uit van a TikTok-uitdaging in 2020.
Maar de zaken hebben een donkerdere wending genomen voor de munt; Hackers gebruiken het token nu om cryptomining-botnets te controleren, zei beveiligingsbedrijf Intezer Labs in een verslag deze week.
Wat een DOGE, veel hack
Intezer Labs, een in New York gevestigd bedrijf voor analyse en detectie van malware, ontdekte dat hackers die de beruchte ‘Doki’-achterdeur gebruiken, Dogecoin-portefeuilles gebruiken om hun online aanwezigheid te maskeren.
Het bedrijf zei dat het Doki, een trojan-virus, sinds januari 2020 analyseerde, maar onlangs ontdekte dat het later werd gebruikt bij het installeren en onderhouden van cryptomining-malware.
Onopgemerkte Doki-aanval die kwetsbaarheden actief infecteert #Dokker servers in de cloud. De aanvaller gebruikt een nieuw Domain Generation Algorithm (DGA) gebaseerd op een DogeCoin digitale portemonnee om C&C-domeinen te genereren. Onderzoek door @NicoleFishi19 en @kajilot https://t.co/CS1aK5DXjv
— Intezer (@IntezerLabs) 28 juli 2020
Een hacker – Ngrok genaamd – had een methode ontdekt om Dogecoin-portemonnees te gebruiken voor het infiltreren van webservers, merkte het bedrijf op. Het gebruik is het eerste voorbeeld van de meme-munt, die anders bekend staat om grappigere doeleinden.
Intezer Labs ontdekte dat Doki een voorheen ongedocumenteerde methode gebruikte om contact op te nemen met de exploitant door de Dogecoin-blockchain op een unieke manier te misbruiken.rder om op dynamische wijze de controle- en opdrachtdomeinadressen (C&C) te genereren.
Door gebruik te maken van Dogecoin-transacties konden de aanvallers deze C&C-adressen wijzigen op alle getroffen computers of servers waarop Ngrok's programma draaide. Monero mijnbouwbots. Hierdoor konden de hacker(s) hun online locatie maskeren, waardoor detectie door juridische en cybercriminele autoriteiten werd voorkomen.
Intezer Labs legde in zijn rapport uit:
“Terwijl sommige malwaresoorten verbinding maken met onbewerkte IP-adressen of hardgecodeerde URL’s in hun broncode, gebruikte Doki een dynamisch algoritme om het controle- en opdrachtadres (C&C) te bepalen met behulp van de Dogecoin API.”
Het bedrijf voegde hieraan toe dat deze stappen ervoor zorgden dat beveiligingsbedrijven toegang moesten krijgen tot de Dogecoin-portemonnee van de hacker om Doki te kunnen uitschakelen, wat “onmogelijk” was zonder de privésleutels van de portemonnee te kennen.
DOGE gebruiken om servers te controleren
Door Doki te gebruiken, kon Ngrok hun nieuw geïmplementeerde Alpine Linux-servers controleren voor het uitvoeren van hun cryptomining-activiteiten. Ze gebruikten de Doki-service om de URL van de controle- en commandoserver (C&C) te bepalen en te wijzigen die nodig was om verbinding te maken voor nieuwe instructies.
Intezer-onderzoekers hebben het proces reverse-engineered en de eerste stappen gedetailleerd beschreven, zoals weergegeven in de onderstaande afbeelding:
Toen het bovenstaande volledig was uitgevoerd, kon de Ngrok-bende de commandoservers van Doki veranderen door een enkele transactie uit te voeren vanuit een Dogecoin-portemonnee die zij beheerden.
Dit was echter slechts een onderdeel van een grotere aanval. Zodra de Ngrok-bende toegang kreeg tot commandoservers, zetten ze een ander botnet in om Monero te minen. Dogecoin en Doki dienden alleen als toegangsbrug, zoals ZDNet onderzoeker Catalin Cimpanu tweette:
Hoe dan ook, Doki maakt, hoewel hij een unieke C&C DGA gebruikt, feitelijk deel uit van een grotere aanvalsketen – namelijk de cryptominingploeg van Ngrok.
Deze hackers richten zich op verkeerd geconfigureerde Docker API's, die ze gebruiken om nieuwe Alpine Linux-images te implementeren om Monero te minen (Doki is hier het toegangsgedeelte) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) 28 juli 2020
Intezer zei dat Doki sinds januari actief is, maar onopgemerkt bleef op alle 60 “VirusTotal” -scansoftware die op Linux-servers wordt gebruikt.
Vanaf vandaag is de aanval nog steeds actief. Malware-exploitanten en ‘cryptomining-bendes’ hebben de methode actief gebruikt, zei Intezer.
Maar het is geen grote zorg. Het bedrijf zegt dat het voorkomen van blootstelling aan het virus eenvoudig is; je hoeft er alleen maar voor te zorgen dat alle kritische applicatieprocesinterfaces (API's) volledig offline zijn en niet verbonden zijn met applicaties die met internet communiceren.
Vind je het leuk wat je ziet? Schrijf u in voor dagelijkse updates.
Bron: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/