Согласно недавнему отчету, опубликованному компанией Intezer Labs, занимающейся кибербезопасностью, хакеры злоупотребляли API Dogecoin, чтобы установить необнаруженный бэкдор под названием “Doki” на серверах Docker, которые работают в Linux.
Как и в случае с другими бэкдор-троянами, основной целью было получить полный контроль, чтобы беспрепятственно выполнять операции по криптовалютам.
Криптоджекинг относится к практике получения несанкционированного доступа к чьему-либо компьютеру для скрытного майнинга криптовалюты с помощью не обнаруживаемого вредоносного компонента.
На этот раз злоумышленники использовали API dogechain.info – самого популярного блокчейн проводника DOGE, для создания своего домена C2. Он способен автоматически находить эти домены, полагаясь на «уникальный» алгоритм DGA, основанный на Dogecoin:
“Используя эту технику, злоумышленник контролирует, с какими вредоносными программами будет связываться, переводя определенное количество Dogecoin из своего кошелька. Поскольку только злоумышленник получает контроль над кошельком, только он может контролировать, когда и сколько dogecoin переводить, и, таким образом, соответственно переключать домен”.
Doki работает уже более полугода, и лучшее антивирусное программное обеспечение до сих пор не может его обнаружить:
“Вредоносная программа – это полностью необнаруженный бэкдор. Ему удалось остаться незамеченным в течение более шести месяцев, несмотря на то, что он был загружен в VirusTotal 14 января 2020 года и с тех пор несколько раз сканировался”.
В последнее время Doki-серверы стали популярной целью для киберпреступников, но это первый случай, в котором участвует Dogecoin.