dogecoin s användningsfall har till synes utvecklats över tiden. Mememyntet skapades ursprungligen som ett skämt 2014, förvandlades till en av de hetaste kryptovalutorna 2015, blev Elon Musks favorit 2018 och var en del av en TikTok utmaning i 2020.
Men saker och ting har tagit en mörkare vändning för valutan; hackare använder nu token för att kontrollera kryptomining botnät, sa säkerhetsföretaget Intezer Labs i en rapport denna vecka.
Sådan DOGE, mycket hack
Intezer Labs, ett New York-baserat företag för analys och upptäckt av skadlig programvara, fick reda på att hackare som använder den ökända "Doki"-bakdörren har använt Dogecoin-plånböcker för att maskera sin närvaro online.
Företaget sa att det hade analyserat Doki, ett trojanskt virus, sedan januari 2020 men upptäckte nyligen dess användning för att installera och underhålla skadlig kod för kryptomining senare.
Oupptäckt Doki-attack som aktivt infekterar sårbara #Hamnarbetare servrar i molnet. Angriparen använder en ny Domain Generation Algorithm (DGA) baserad på en DogeCoin digital plånbok för att generera C&C-domäner. Forskning av @NicoleFishi19 och @kajilot https://t.co/CS1aK5DXjv
— Intezer (@IntezerLabs) Juli 28, 2020
En hacker - som går av Ngrok - hade upptäckt en metod för att använda Dogecoin-plånböcker för att infiltrera webbservrar, noterade företaget. Användningen är ett första sådant fall för mememyntet, som annars är känt för roligare syften.
Intezer Labs fick reda på att Doki använde en tidigare odokumenterad metod för att kontakta sin operatör genom att missbruka Dogecoin-blockkedjan på ett unikt sätt i order för att dynamiskt generera dess kontroll- och kommandodomänadresser (C&C).
Genom att använda Dogecoin-transaktioner kunde angriparna ändra dessa C&C-adresser på alla berörda datorer, eller servrar, som körde Ngroks Monero gruvrobotar. Genom att göra det tillät hackarna/hackerna att maskera sin plats online, vilket förhindrade upptäckt av juridiska och cyberkriminella myndigheter.
Intezer Labs förklarade i sin rapport:
"Medan vissa skadliga stammar ansluter till obearbetade IP-adresser eller hårdkodade URL:er som ingår i deras källkod, använde Doki en dynamisk algoritm för att bestämma kontroll- och kommandoadressen (C&C) med Dogecoin API."
Företaget lade till att dessa steg innebar att säkerhetsföretag behövde komma åt hackarens Dogecoin-plånbok för att ta ner Doki, vilket var "omöjligt" utan att känna till plånbokens privata nycklar.
Använder DOGE för att kontrollera servrar
Genom att använda Doki kunde Ngrok kontrollera sina nyligen utplacerade Alpine Linux-servrar för att köra deras kryptomining. De använde Doki-tjänsten för att bestämma och ändra URL:en för kontroll- och kommandoservern (C&C) den behövde för att ansluta för nya instruktioner.
Intezers forskare omvandlade processen och beskrev de första stegen som visas i bilden nedan:
När ovanstående var helt utfört kunde Ngrok-gänget ändra Dokis kommandoservrar genom att göra en enda transaktion inifrån en Dogecoin-plånbok som de kontrollerade.
Detta var dock bara en del av en större attack. När Ngrok-gänget fick tillgång till kommandoservrar, distribuerade de ett annat botnät för att bryta Monero. Dogecoin och Doki fungerade bara som tillträdesbro, som ZDNet Forskaren Catalin Cimpanu twittrade:
Hur som helst, Doki, medan han använder en unik C&C DGA, är faktiskt en del av en större attackkedja - nämligen Ngrok-krypteringsgruppen.
Dessa hackare riktar sig mot felkonfigurerade Docker API:er, som de använder för att distribuera nya Alpine Linux-avbildningar för att bryta Monero (Doki är åtkomstdelen här) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) Juli 28, 2020
Intezer sa att Doki har varit aktiv sedan i januari, men förblev oupptäckt på alla 60 "VirusTotal" skanningsprogram som används på Linux-servrar.
Från och med idag är attacken fortfarande aktiv från och med idag. Operatörer av skadlig programvara och "krypto-mining-gäng" har aktivt använt metoden, sa Intezer.
Men det är inget stort bekymmer. Firman säger att det är lätt att förhindra exponering för viruset; man behöver bara se till att alla kritiska applikationsprocessgränssnitt (API) är helt offline och inte anslutna till någon applikation som interagerar med internet.
Gillar du vad du ser? Prenumerera på dagliga uppdateringar.
Källa: https://cryptoslate.com/dogecoin-doge-is-now-being-used-by-crypto-hackers-after-tiktok-boom/