Tips

  • Dogecoin está siendo usado por los hackers para mantener una red de botnets de criptomonedas.
  • Los atacantes están accediendo a las APIs con las carteras DOGE para enmascarar su ubicación.
  • El ataque sigue en curso.

La moneda de Meme Dogecoin está siendo utilizada por los hackers para controlar los programas maliciosos de minería de Monero en los sistemas operativos de Linux, dijo la firma de seguridad Intezer Labs ayer.

Cuando Intezer Labs estaba analizando un virus troyano de relativamente nuevo, llamado Doki, encontró que un antiguo atacante lo estaba usando para dirigir la minería de malware en servidores web públicos.

Pero había una diferencia clave. La firma encontró que el hacker, que se hace llamar Ngrok, había descubierto un nuevo método para usar las wallets de Dogecoin para infiltrarse en los servidores web; un primer uso de este tipo para la moneda meme.

"Doki utiliza un método previamente indocumentado para contactar a su operador abusando de la blockchain de la criptomoneda Dogecoin de una manera única para generar dinámicamente su dirección de dominio C2", dijo Intezer Labs en su informe.

El perro Shiba Inu inspiró la criptomoneda de broma, Dogecoin
El perro Shiba Inu inspiró la criptomoneda de broma, Dogecoin

Los atacantes apuntaron a los servidores de mando y control (C2) para este ataque. Estos se utilizan para organizar y controlar los sistemas comprometidos dentro de una red objetivo y pueden incluir teléfonos inteligentes, PCs y cualquier otro dispositivo conectado a Internet.

Usando las transacciones de Dogecoin, los atacantes pudieron cambiar las direcciones C2 de los ordenadores expuestos que ejecutaban sus bots mineros de Monero. Esto les permitió cambiar continuamente su ubicación (en línea), lo que a su vez les permitió ejecutar el ataque sin ser atrapados por la policía.

Entonces, ¿por qué utilizar este método? Intezer dijo que estos pasos hacían necesario que las empresas de seguridad accedieran a la cartera Dogecoin del hacker para acabar con Doki, lo cual era "imposible" sin conocer sus llaves privadas.

Y parece haber funcionado bien hasta ahora. Intezer dijo que Doki ha estado activo desde este enero, pero permaneció sin ser detectado en los 60 programas de escaneo de "VirusTotal" usados en los servidores Linux.

El ataque sigue activo hoy en día. Intezer Labs señaló que en los últimos meses, los servidores docker han sido cada vez más atacados por los operadores de malware, y "especialmente por las bandas de criptominería".

Una forma de evitar la exposición a la red de bots de Ngrok es asegurarse de que las interfaces de procesos de aplicación crítica (API) no estén conectadas a Internet.

En cuanto a Dogecoin, de ser viral en TikTok a ser respaldado por Elon Musk-y ahora ser una herramienta crítica para los hackers-¿hay algo por lo que esta moneda no sea reconocida?

Daily Debrief Newsletter

Start every day with the top news stories right now, plus original features, a podcast, videos and more.