Un recente report a cura di Intezer, azienda che si occupa di rilevare minacce informatiche ed attacchi cyber, ha rilevato come sia in atto un nuovo metodo per sfruttare dei malware per minare la crypto Dogecoin.
Parliamo di un attacco lato server a delle piattaforme come AWS di Amazon, Azure di Microsoft. Tutte queste possono essere attaccate usando il sistema operativo Linux e sfruttando un wallet blockchain per generare nomi di domini C&C (Command & Control).
Il malware, soprannominato Doki, non viene rilevato da nessuno degli oltre 60 motori per rintracciare malware, nonostante sia stato analizzato a gennaio di quest’anno.
Doki, il malware che mina Dogecoin
Prende di mira la configurazione del Docker tramite le porte e permette ai criminali di eseguire il proprio software in maniera indisturbata.
Inoltre, il malware sfrutta il servizio DynDNS ed un DGA (Domain Generation Algorithm) basato sulla crypto di Dogecoin per trovare un dominio C2 in tempo reale.
Nel dettaglio, questo è il processo:
-
Richiesta delle API da dogechain.info, un esploratore di blocchi della criptovaluta Dogecoin, del valore che è stato inviato (speso) da un indirizzo di un portafoglio cifrato che è gestito da chi ha effettuato l’attacco. Il formato della query è: https://dogechain.info/api/v1/address/sent/{address}.
-
Eseguire SHA256 sul valore restituito sotto “sent” (inviato).
-
Salvare i primi 12 caratteri della rappresentazione della stringa hex del valore SHA256, da utilizzare come sottodominio.
-
Costruire l’indirizzo completo aggiungendo il sottodominio a ddns.net. Un esempio di dominio sarebbe: 6d77335c4f23[.]ddns[.]net.
Dietro a questo tipo di attacco c’è una botnet, quella di Ngrok, che nel corso del tempo si è evoluta ed è diventata invisibile ai più comuni metodi e programmi di tracciamento dei malware.
Infatti, sono poche le soluzioni che fanno un check sulla memoria dei server per controllare attività anomale perché è proprio da lì che partono i payload dei codici malevoli.
Tra questi software troviamo proprio l’Intezer Protect.