Troyano de Linux utiliza API de Dogecoin para encontrar sus servidores de C&C
Los días en que el malware para Linux prácticamente no existía han quedado atrás. Hoy en día, las amenazas de Linux se informan casi todas las semanas.
Los días en que el malware para Linux prácticamente no existía han quedado atrás. Hoy en día, las amenazas de Linux se informan casi todas las semanas. Por ejemplo, recientemente, especialistas de la compañía de seguridad de la información Intezer Labs presentaron un análisis detallado del nuevo troyano Doki, que fue adquirido por el conocido grupo cibercriminal Ngrok, que se especializa en minería de criptomonedas.
La agrupación, activa desde 2018, obtuvo su nombre del uso inicial del servicio Ngrok para alojar sus servidores de C&C. Sin embargo, según Intezer Labs, este año cambió de táctica y ahora ataca las instalaciones de Docker donde se almacenan API no seguras.
En los ataques de Docker API estudiados por los investigadores, los ciberdelincuentes implementaron nuevos servidores dentro de la infraestructura de nube de la compañía objetivo. Estos servidores ejecutaban Alpine Linux y estaban infectados con malware de minería de criptomonedas y el troyano Doki.
Doki les da a los atacantes el control sobre los servidores Alpine Linux recientemente implementados y, por lo tanto, les permite asegurarse de que la operación de minería de criptomonedas continúe como se esperaba. Aunque esta funcionalidad no es inusual, según los investigadores, Doki sigue siendo muy diferente de otros troyanos similares.
Específicamente, los investigadores estaban interesados en cómo Doki determina la URL del servidor C&C para conectarse para obtener instrucciones. A diferencia de otros troyanos similares que se conectan a direcciones IP o URL codificadas, Doki utiliza un algoritmo de generación de dominio dinámico (DGA). El DGA permite que el troyano determine la dirección del servidor C&C utilizando la API Dogecoin. Es decir, los operadores del troyano pueden cambiar el servidor del que recibe los comandos llevando a cabo solo una transacción desde la billetera Dogecoin controlada por ellos.
Si DynDNS (ddns.net) recibe un informe de abuso de la URL actual del servidor Doki C&C y lo desactiva, los operadores de Ngrok solo necesitan realizar una nueva transacción, determinar el valor del subdominio, configurar una nueva cuenta DynDNS y obtener el subdominio.
Este mecanismo es una forma efectiva de evitar que la policía cierre la infraestructura de back-end de Doki. Para hacer esto, los agentes de la ley deben tomar el control de la billetera Dogecoin propiedad de Ngrok, lo cual es imposible sin una clave criptográfica.
Una vez que el equipo está infectado, el malware también aprovecha los sistemas comprometidos para escanear aún más la red en busca de puertos asociados con Redis, Docker, SSH y HTTP, utilizando una herramienta de escaneo como zmap, zgrap y jq. Doki ha logrado permanecer bajo el radar durante más de seis meses a pesar de haber sido cargado en VirusTotal el 14 de enero de 2020, y escaneado varias veces desde entonces. De manera sorprendente, a día de hoy aún no es detectable por ninguno de los 61 principales motores de detección de malware.
Es la segunda vez que el software de contenedores más destacado se ha convertido en el objetivo de ciberdelincuentes. A fines del mes pasado, se encontraron actores maliciosos que apuntaban a puntos finales expuestos de la API de Docker e imágenes infestadas de malware para facilitar los ataques DDoS y minar criptomonedas.
Más detalles: https://www.securitylab.ru/news/510608.php