Dogecoin usecase dường như đã phát triển theo thời gian. Đồng xu meme ban đầu được tạo ra như một trò đùa vào năm 2014, biến thành một trong những loại tiền điện tử nóng nhất năm 2015, trở thành Yêu thích của Elon Musk vào năm 2018, và là một phần của Thử thách TikTok 2020.
Nhưng mọi thứ đã chuyển sang màu tối hơn đối với tiền tệ; tin tặc hiện đang sử dụng mã thông báo để kiểm soát các botnet khai thác tiền điện tử, công ty bảo mật Intezer Labs cho biết trong một báo cáo trong tuần này.
DOGE như vậy, hack nhiều
Intezer Labs, một công ty phân tích và phát hiện phần mềm độc hại có trụ sở tại New York, đã phát hiện ra các tin tặc sử dụng cửa hậu khét tiếng của D Diêu, đã sử dụng ví Dogecoin để che giấu sự hiện diện trực tuyến của chúng.
Công ty cho biết họ đã phân tích Doki, một loại virus trojan, kể từ tháng 2020 năm XNUMX nhưng gần đây đã phát hiện ra việc sử dụng nó trong việc cài đặt và duy trì phần mềm độc hại khai thác tiền điện tử sau đó.
Tấn công Doki không bị phát hiện chủ động lây nhiễm dễ bị tổn thương #Docker máy chủ trên đám mây. Kẻ tấn công sử dụng Thuật toán tạo tên miền (DGA) mới dựa trên ví kỹ thuật số DogeCoin để tạo tên miền C&C. Nghiên cứu của @ NicoleFishi19 và @kajilot https://t.co/CS1aK5DXjv
- Intezer (@IntezerLabs) 28 Tháng Bảy, 2020
Một hacker - người đi theo Ngrok - đã phát hiện ra một phương pháp sử dụng ví Dogecoin để xâm nhập vào các máy chủ web, công ty lưu ý. Việc sử dụng là trường hợp đầu tiên như vậy đối với đồng tiền meme, thường được biết đến với mục đích hài hước hơn.
Intezer Labs đã phát hiện ra Doki đang sử dụng một phương pháp không có giấy tờ trước đây để liên hệ với nhà điều hành của mình bằng cách lạm dụng chuỗi khối Dogecoin theo cách độc đáo trong order để tạo động địa chỉ miền điều khiển và lệnh (C&C) của nó.
Việc sử dụng các giao dịch Dogecoin cho phép những kẻ tấn công thay đổi các địa chỉ C&C này trên bất kỳ máy tính hoặc máy chủ bị ảnh hưởng nào chạy Ngrok's Monero bot khai thác. Làm như vậy cho phép tin tặc che dấu vị trí trực tuyến của chúng, do đó ngăn chặn sự phát hiện của các cơ quan pháp lý và tội phạm mạng.
Intezer Labs đã giải thích trong báo cáo của mình:
“Trong khi một số chủng phần mềm độc hại kết nối với địa chỉ IP thô hoặc URL được mã hóa cứng có trong mã nguồn của chúng, Doki đã sử dụng một thuật toán động để xác định địa chỉ kiểm soát và lệnh (C&C) bằng cách sử dụng Dogecoin API.”
Công ty đã thêm các bước này có nghĩa là các công ty bảo mật cần truy cập vào ví Dogecoin của hacker để hạ bệ Doki, đó là không thể điều chỉnh mà không biết khóa riêng của ví.
Sử dụng DOGE để kiểm soát máy chủ
Việc sử dụng Doki cho phép Ngrok kiểm soát các máy chủ Alpine Linux mới được triển khai của họ để chạy các hoạt động khai thác tiền điện tử của họ. Họ đã sử dụng dịch vụ Doki để xác định và thay đổi URL của máy chủ điều khiển và lệnh (C&C) cần thiết để kết nối cho các hướng dẫn mới.
Các nhà nghiên cứu của Intezer đã thiết kế ngược quy trình, trình bày chi tiết các bước ban đầu như trong hình dưới đây:
Khi những điều trên được thực thi đầy đủ, băng đảng Ngrok có thể thay đổi các máy chủ chỉ huy của Doki bằng cách thực hiện một giao dịch duy nhất từ trong ví Dogecoin mà họ kiểm soát.
Tuy nhiên, đây chỉ là một phần của cuộc tấn công lớn hơn. Khi băng đảng Ngrok có được quyền truy cập vào các máy chủ chỉ huy, họ đã triển khai một mạng botnet khác để khai thác Monero. Dogecoin và Doki chỉ đóng vai trò là cầu nối, như ZDNet nhà nghiên cứu Catalin Cimpanu đã tweet:
Dù sao, Doki, trong khi sử dụng C&C DGA độc đáo, thực sự là một phần của chuỗi tấn công lớn hơn - cụ thể là nhóm khai thác tiền điện tử Ngrok.
Những tin tặc này nhắm mục tiêu API Docker được định cấu hình sai, chúng sử dụng để triển khai các hình ảnh mới của Linux Linux để khai thác Monero (Doki là phần truy cập ở đây) pic.twitter.com/xh20MqS9od
- Catalin Cimpanu (@campuscodi) 28 Tháng Bảy, 2020
Intezer cho biết Doki đã hoạt động kể từ tháng 60 này, nhưng vẫn không bị phát hiện trên tất cả các phần mềm quét Virus VirusTotal XNUMX được sử dụng trên các máy chủ Linux.
Cho đến hôm nay, cuộc tấn công vẫn còn hoạt động cho đến ngày hôm nay. Intezer cho biết, các nhà khai thác phần mềm độc hại và các băng đảng khai thác tiền điện tử đã tích cực sử dụng phương thức này.
Nhưng nó không phải là một lo lắng lớn. Công ty nói rằng ngăn chặn tiếp xúc với virus là dễ dàng; người ta chỉ cần đảm bảo rằng mọi giao diện quá trình ứng dụng quan trọng (API) hoàn toàn ngoại tuyến và không được kết nối với bất kỳ ứng dụng nào tương tác với internet.
Cũng giống như những gì bạn thấy? Theo dõi để cập nhật hàng ngày.
Nguồn: https://cryptoslate.com/dogecoin-doge-is-now-being-use-by-crypto-hackers-after-tiktok-boom/