Una nuova ricerca sostiene che degli hacker stiano utilizzando la blockchain di Dogecoin (DOGE) per diffondere un malware chiamato “Doki”.
Secondo i ricercatori di Intezer, Doki è una backdoor completamente invisibile che sfrutta la blockchain di Dogecoin in un “modo unico” per generare un domain address C2 e violare server cloud: il software viene distribuito tramite una botnet chiamata Ngrok.
Questi indirizzi di dominio vengono poi utilizzati dal malware per cercare altri server vulnerabili nel network della vittima.
Lo studio di Intezer analizza ulteriormente le modalità di attacco:
“Il malintenzionato controlla quale indirizzo verrà contattato dal malware trasferendo una quantità specifica di Dogecoin dal suo wallet. Dato che solo l'assalitore possiede le chiavi private del wallet, solo lui può controllare la porzione di crypto da trasferire, e quindi cambiare il dominio di conseguenza."
Nessuno l’ha notato per più di sei mesi
Intezer sostiene che utilizzare Dogecoin per lanciare un malware crypto è “molto difficile da rilevare”, sia per le forze di polizia che per le società di sicurezza informatica. Per tale motivo, Doki è riuscito a rimanere nell’ombra per oltre sei mesi, nonostante fosse stato segnalato nel database VirusTotal a gennaio.
I ricercatori sottolineano come un attacco di questo genere sia “molto pericoloso”:
“Le prove che abbiamo raccolto dimostrano che questo malware può infettare un nuovo server Docker mal configurato in poche ore.”
Recentemente, il team di threat intelligence di Cisco Systems ha scoperto una nuova botnet di cryptojacking chiamata “Prometei”: questo sistema mina Monero (XMR) e contemporaneamente ruba dati dal network colpito.