Novo malware para Linux usa API da Dogecoin

Views: 68
0 0
Read Time:1 Minute, 51 Second

Os pesquisadores disseram que o objetivo era permitir que hackers controlassem servidores Alpine Linux.

por Leonardo Santana

Em um relatório, a empresa Intezer Labs analisou o Doki, um novo malware para Linux que eles viram no arsenal de um antigo grupo conhecido por direcionar servidores web para fins de mineração de criptomoedas Dogecoin.

O grupo, conhecido como Ngrok, está ativo desde pelo menos final de 2018. Os pesquisadores dizem que, em ataques realizados pelo grupo este ano, os hackers direcionaram as instalações do Docker, onde a API de gerenciamento foi deixada exposta on-line.

Novo malware para Linux usa API da Dogecoin

Os hackers usaram a API do Docker para implantar novos servidores na infraestrutura de nuvem da empresa. Os servidores, executando uma versão do Alpine Linux, foram infectados com malware de mineração de criptomoedas e com o Doki.

Os pesquisadores disseram que o objetivo do Doki era permitir que hackers controlassem servidores Alpine Linux recém-implantados. Como resultado, o malware garantiria que a mineração de criptomoedas estivesse funcionando conforme o planejado.

Novo malware para Linux usa API da Dogecoin
Os pesquisadores dizem que, em ataques realizados pelo grupo este ano, os hackers direcionaram as instalações do Docker, onde a API de gerenciamento foi deixada exposta on-line. Imagem: Intezer.

No entanto, a Intezer diz que o Doki é diferente de cavalos de troia semelhantes. O detalhe mais óbvio foi como o Doki determinou o URL do servidor C&C necessário para conectar-se e obter novas instruções.

Enquanto algumas linhagens de malware se conectam a endereços IP brutos ou URLs codificados incluídos em seu código-fonte, o Doki usou um algoritmo dinâmico para determinar o endereço C&C usando a API da Dogecoin.

Esse mecanismo é uma maneira eficaz de impedir a aplicação da lei de derrubar a infraestrutura de back-end do Doki. Em síntese, eles precisariam assumir o controle da carteira Dogecoin do Ngrok, algo que seria impossível sem a chave criptográfica da carteira.

A Intezer diz que o Doki parece existir desde janeiro deste ano. No entanto, apesar de estar presente há mais de seis meses, o malware permaneceu sem ser detectado na maioria dos mecanismos de verificação Linux atuais.

FONTE: SEMPRE UPDATE

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *