banner
Il primo malware con Dogecoin
Il primo malware con Dogecoin
Sicurezza

Il primo malware con Dogecoin

By Alfredo de Candia - 30 Lug 2020

Chevron down

Un recente report a cura di Intezer, azienda che si occupa di rilevare minacce informatiche ed attacchi cyber, ha rilevato come sia in atto un nuovo metodo per sfruttare dei malware per minare la crypto Dogecoin.

Parliamo di un attacco lato server a delle piattaforme come AWS di Amazon, Azure di Microsoft. Tutte queste possono essere attaccate usando il sistema operativo Linux e sfruttando un wallet blockchain per generare nomi di domini C&C (Command & Control).

Il malware, soprannominato Doki, non viene rilevato da nessuno degli oltre 60 motori per rintracciare malware, nonostante sia stato analizzato a gennaio di quest’anno.

Doki, il malware che mina Dogecoin

Prende di mira la configurazione del Docker tramite le porte e permette ai criminali di eseguire il proprio software in maniera indisturbata.

Inoltre, il malware sfrutta il servizio DynDNS ed un DGA (Domain Generation Algorithm) basato sulla crypto di Dogecoin per trovare un dominio C2 in tempo reale.

Nel dettaglio, questo è il processo:

  1. Richiesta delle API da dogechain.info, un esploratore di blocchi della criptovaluta Dogecoin, del valore che è stato inviato (speso) da un indirizzo di un portafoglio cifrato che è gestito da chi ha effettuato l’attacco. Il formato della query è: https://dogechain.info/api/v1/address/sent/{address}.

  2. Eseguire SHA256 sul valore restituito sotto “sent” (inviato).

  3. Salvare i primi 12 caratteri della rappresentazione della stringa hex del valore SHA256, da utilizzare come sottodominio.

  4. Costruire l’indirizzo completo aggiungendo il sottodominio a ddns.net. Un esempio di dominio sarebbe: 6d77335c4f23[.]ddns[.]net.

Dietro a questo tipo di attacco c’è una botnet, quella di Ngrok, che nel corso del tempo si è evoluta ed è diventata invisibile ai più comuni metodi e programmi di tracciamento dei malware.

Infatti, sono poche le soluzioni che fanno un check sulla memoria dei server per controllare attività anomale perché è proprio da lì che partono i payload dei codici malevoli.

Tra questi software troviamo proprio l’Intezer Protect.

 

Alfredo de Candia
Alfredo de Candia

Android developer da oltre 8 anni sul playstore di Google con una decina di app, Alfredo a 21 anni ha scalato il Monte Fuji seguendo il detto "Chi scala il monte Fuji una volta nella vita è un uomo saggio, chi lo scala due volte è un pazzo". Tra le sue app troviamo un dizionario di giapponese, un database di spam e virus, il più completo database sui compleanni di serie Anime e Manga e un database sulle shitcoin. Miner della domenica, Alfredo ha una forte passione per le crypto ed è un fan di EOS.

Utilizziamo i cookie per essere sicuri che tu possa avere la migliore esperienza sul nostro sito. Se continui ad utilizzare questo sito noi assumiamo che tu ne sia felice.