История Dogecoin не ограничивается рекламой на TikTok или шутками Илона Маска. Хакеры выбрали криптовалюту-мем, чтобы управлять вредоносными программами для майнинга.

Как заявили в компании Intezer Labs, хакеры управляют вредоносным ПО на операционных системах Linux для майнинга криптовалюты Monero, используя монету-мем Dogecoin. Анализируя относительно новый троянский вирус бэкдор Doki, там обнаружили, что он используется для атаки на общедоступные веб-серверы с целью майнинга.

Как это работает

Но есть и ключевое отличие. Оказалось, что хакеры — входящие в группировку Ngrok — придумали новый метод использования кошельков Dogecoin для проникновения на веб-серверы. Данная монета впервые используется подобным образом.

«Doki использует ранее неизвестный метод, чтобы связаться с оператором, используя блокчейн криптовалюты Dogecoin для динамического генерирования своего доменного адреса C2», — говорится в отчете Intezer Labs.

Злоумышленники выбрали в качестве цели для атаки командные серверы (C2). Они используются для управления скомпрометированными системами в целевой сети и могут включать смартфоны, ПК и любые другие устройства, подключенные к интернету.

Используя транзакции Dogecoin, злоумышленники смогли изменить адреса C2 на незащищенных компьютерах, запустив ботов для майнинга Monero. Это позволило им постоянно менять (онлайн) местоположение, благодаря чему им удалось не попасть в поле зрения правоохранительных органов.

Почему Dogecoin

Почему же они предпочли этот метод? По словам Intezer, охранным фирмам нужно было получить доступ к кошельку Dogecoin хакера, чтобы уничтожить Doki, что «невозможно» сделать, не зная секретных ключей кошелька.

И, судя по всему, данная схема работает до сих пор. В Intezer отметили, что Doki активен с января этого года, но остается незамеченным на всех 60 сканирующих программах VirusTotal, используемых на серверах Linux.
При этом атака еще не закончилась. Intezer Labs заявила, что за последние несколько месяцев серверы docker все чаще становятся мишенью для операторов вредоносного ПО и «особенно группировок, занимающихся майнингом криптовалют».

Для защиты от ботнета Ngrok в частности нужно, чтобы критические интерфейсы прикладных программ (API) были отключены от интернета.