dogecoin s brukstilfeller har tilsynelatende utviklet seg over tid. Meme-mynten ble opprinnelig laget som en spøk i 2014, omgjort til en av de hotteste kryptovalutaene i 2015, ble Elon Musks favoritt i 2018, og var en del av et TikTok utfordring i 2020.
Men ting har tatt en mørkere vending for valutaen; hackere bruker nå tokenet for å kontrollere kryptogruve-botnett, sa sikkerhetsfirmaet Intezer Labs i en rapporterer denne uken.
Slike DOGE, mye hack
Intezer Labs, et New York-basert firma for analyse og deteksjon av skadelig programvare, fant ut at hackere som bruker den beryktede «Doki»-bakdøren, har brukt Dogecoin-lommebøker for å maskere deres online tilstedeværelse.
Firmaet sa at det hadde analysert Doki, et trojansk virus, siden januar 2020, men oppdaget nylig bruken av det til å installere og vedlikeholde crypto-mining malware senere.
Uoppdaget Doki-angrep som aktivt infiserer sårbare #Dokker servere i skyen. Angriperen bruker en ny Domain Generation Algorithm (DGA) basert på en DogeCoin digital lommebok for å generere C&C-domener. Forskning av @NicoleFishi19 og @kajilot https://t.co/CS1aK5DXjv
— Intezer (@IntezerLabs) Juli 28, 2020
En hacker - som går av Ngrok - hadde avdekket en metode for å bruke Dogecoin-lommebøker for å infiltrere webservere, bemerket firmaet. Bruken er en første slik sak for meme-mynten, som ellers er kjent for morsommere formål.
Intezer Labs fant ut at Doki brukte en tidligere udokumentert metode for å kontakte operatøren ved å misbruke Dogecoin-blokkjeden på en unik måte i order for å dynamisk generere dens kontroll- og kommandodomeneadresser (C&C).
Ved å bruke Dogecoin-transaksjoner kunne angriperne endre disse C&C-adressene på alle berørte datamaskiner, eller servere, som kjørte Ngroks Monero gruveroboter. Ved å gjøre det kunne hackerne/hackerne maskere sin nettposisjon, og dermed forhindret oppdagelse av juridiske og nettkriminelle myndigheter.
Intezer Labs forklarte i sin rapport:
"Mens noen malware-stammer kobler til rå IP-adresser eller hardkodede URL-er inkludert i kildekoden deres, brukte Doki en dynamisk algoritme for å bestemme kontroll- og kommandoadressen (C&C) ved hjelp av Dogecoin API."
Firmaet la til at disse trinnene betydde at sikkerhetsfirmaer måtte få tilgang til hackerens Dogecoin-lommebok for å ta ned Doki, noe som var "umulig" uten å kjenne til lommebokens private nøkler.
Bruker DOGE til å kontrollere servere
Ved å bruke Doki tillot Ngrok å kontrollere sine nylig utplasserte Alpine Linux-servere for å kjøre deres krypto-gruvedrift. De brukte Doki-tjenesten til å bestemme og endre URL-en til kontroll- og kommandoserveren (C&C) den trengte for å koble til for nye instruksjoner.
Intezer-forskere reverserte prosessen, og beskrev de første trinnene som vist på bildet nedenfor:
Når ovennevnte var fullstendig utført, kunne Ngrok-gjengen endre Dokis kommandoservere ved å gjøre en enkelt transaksjon fra en Dogecoin-lommebok de kontrollerte.
Dette var imidlertid bare en del av et større angrep. Når Ngrok-gjengen fikk tilgang til kommandoservere, distribuerte de et annet botnett for å utvinne Monero. Dogecoin og Doki fungerte bare som tilgangsbro, som ZDNet Forsker Catalin Cimpanu tvitret:
Uansett, Doki, mens han bruker en unik C&C DGA, er faktisk en del av en større angrepskjede - nemlig Ngrok-kryptogruvemannskapet.
Disse hackerne retter seg mot feilkonfigurerte Docker APIer, som de bruker til å distribuere nye Alpine Linux-bilder for å utvinne Monero (Doki er tilgangsdelen her) pic.twitter.com/xh20MqS9od
— Catalin Cimpanu (@campuscodi) Juli 28, 2020
Intezer sa at Doki har vært aktiv siden januar, men forble uoppdaget på alle de 60 "VirusTotal"-skanneprogramvarene som brukes på Linux-servere.
Per i dag er angrepet fortsatt aktivt per i dag. Skadevareoperatører og "kryptogruvegjenger" har aktivt brukt metoden, sa Intezer.
Men det er ikke en stor bekymring. Firmaet sier det er enkelt å forhindre eksponering for viruset; man trenger bare å sikre at eventuelle kritiske applikasjonsprosessgrensesnitt (API) er helt offline og ikke koblet til noen applikasjoner som samhandler med internett.
Liker du hva du ser? Abonner for daglige oppdateringer.
Kilde: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/