Dogecoin's aparentemente, os casos evoluíram com o tempo. A moeda dos memes foi criada inicialmente como uma piada em 2014, transformada em uma das moedas mais quentes de 2015, tornou-se Elon Musk favorito em 2018 e fazia parte de um Desafio TikTok em 2020.
Mas as coisas tomaram um rumo mais sombrio para a moeda; Agora, os hackers estão utilizando o token para controlar botnets de mineração de criptografia, disse a empresa de segurança Intezer Labs em um Denunciar esta semana.
Tal DOGE, muito hack
A Intezer Labs, uma empresa de análise e detecção de malware com sede em Nova York, descobriu que hackers que usam o infame backdoor “Doki” estão usando carteiras Dogecoin para mascarar sua presença on-line.
A empresa disse que analisa o Doki, um vírus de Trojan, desde janeiro de 2020, mas descobriu recentemente seu uso na instalação e manutenção de malware de mineração de criptografia posteriormente.
Ataque Doki não detectado infectando ativamente vulneráveis #Docker servidores na nuvem. O invasor usa um novo algoritmo de geração de domínio (DGA) baseado em uma carteira digital DogeCoin para gerar domínios C&C. Pesquisa por @ NicoleFishi19 e @kajilot https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) 28 de julho de 2020
Um hacker - que usa Ngrok - descobriu um método para usar as carteiras Dogecoin para se infiltrar em servidores da web, observou a empresa. O uso é o primeiro caso desse tipo para a moeda do meme, que também é conhecida por propósitos mais engraçados.
A Intezer Labs descobriu que o Doki estava usando um método não documentado para entrar em contato com seu operador, abusando da blockchain Dogecoin de uma maneira única.rder para gerar dinamicamente seus endereços de domínio de controle e comando (C&C).
O uso de transações Dogecoin permitiu que os invasores alterassem esses endereços C&C em qualquer computador ou servidor afetado que executasse o Ngrok's Monero robôs de mineração. Isso permitiu que os hackers mascarassem sua localização on-line, impedindo assim a detecção por autoridades legais e cibercriminosas.
O Intezer Labs explicou em seu relatório:
“Enquanto algumas cepas de malware se conectam a endereços IP brutos ou URLs codificados incluídos em seu código-fonte, Doki usou um algoritmo dinâmico para determinar o endereço de controle e comando (C&C) usando a API Dogecoin.”
A empresa acrescentou que essas medidas significam que as empresas de segurança precisam acessar a carteira Dogecoin do hacker para derrubar Doki, o que era "impossível" sem conhecer as chaves privadas da carteira.
Usando o DOGE para controlar servidores
O uso do Doki permitiu que a Ngrok controlasse seus servidores Alpine Linux recém-implantados para executar suas operações de mineração de criptografia. Eles usaram o serviço Doki para determinar e alterar a URL do servidor de controle e comando (C&C) necessário para se conectar para obter novas instruções.
Os pesquisadores da Intezer fizeram a engenharia reversa do processo, detalhando as etapas iniciais, como mostrado na imagem abaixo:
Quando o exposto acima foi totalmente executado, a gangue Ngrok poderia mudar os servidores de comando de Doki fazendo uma única transação a partir de uma carteira Dogecoin que eles controlavam.
No entanto, isso foi apenas parte de um ataque maior. Depois que a gangue Ngrok obteve acesso aos servidores de comando, eles implantaram outra botnet na mina de Monero. Dogecoin e Doki serviram apenas como ponte de acesso, pois ZDNet o pesquisador Catalin Cimpanu twittou:
Enfim, Doki, embora use um C&C DGA exclusivo, na verdade faz parte de uma cadeia de ataque maior - ou seja, a equipe de mineração de criptografia Ngrok.
Esses hackers têm como alvo APIs do Docker configuradas incorretamente, que eles usam para implantar novas imagens do Alpine Linux na mina do Monero (o Doki é a parte de acesso aqui) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) 28 de julho de 2020
Intezer disse que o Doki está ativo desde janeiro deste ano, mas permanece sem ser detectado em todos os 60 softwares de verificação “VirusTotal” usados nos servidores Linux.
A partir de hoje, o ataque ainda está ativo a partir de hoje. Os operadores de malware e as "quadrilhas de mineração de criptografia" têm usado ativamente o método, disse Intezer.
Mas não é uma grande preocupação. A empresa diz que é fácil impedir a exposição ao vírus; basta garantir que as APIs (interfaces críticas de processo de aplicativo) estejam totalmente offline e não conectadas a qualquer aplicativo que interaja com a Internet.
Como que você vê? Inscreva-se para atualizações diárias.
Fonte: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/