API Dogecoin Utilisée Par Les Cybercriminels Pour Exploiter Furtivement La Crypto-Monnaie

L’API Dogecoin a été exploitée pour infecter les serveurs Docker avec un malware Linux indétectable

Selon un rapport récent publié par la société de cybersécurité Intezer Labs, l’API Dogecoin a été utilisée de manière abusive par des pirates pour implanter une porte dérobée non détectée appelée «Doki» sur les services Docker qui fonctionnent sous Linux.

Comme pour les autres chevaux de Troie de porte dérobée, l’objectif principal était d’obtenir un contrôle complet afin d’exécuter en douceur les opérations de cryptojacking.

Une méthode unique

Le cryptojacking fait référence à la pratique consistant à obtenir un accès non autorisé à l’ordinateur de quelqu’un afin d’exploiter furtivement la crypto-monnaie à l’aide d’un composant malveillant indétectable.

Cette fois-ci, les attaquants se sont appuyés sur l’API de dogechain.info, l’explorateur de blocs DOGE le plus populaire, pour créer son domaine C2.

Il est capable de trouver ces domaines automatiquement en s’appuyant sur un algorithme DGA «unique» basé sur Dogecoin:

En utilisant cette technique, l’attaquant contrôle quelle adresse le malware contactera en transférant une quantité spécifique de Dogecoin depuis son portefeuille. Étant donné que seul l’attaquant a le contrôle du portefeuille, lui seul peut contrôler quand et combien de dogecoin transférer, et ainsi changer de domaine en conséquence.

Doki était opérationnel depuis plus de six mois et le meilleur logiciel antivirus est toujours incapable de le détecter:

Le malware est une porte dérobée totalement non détectée. Il a réussi à ne pas être détecté pendant plus de six mois, bien qu’il ait été téléchargé sur VirusTotal le 14 janvier 2020 et analysé plusieurs fois depuis.

Les cryptojackers continuent de prospérer

Récemment, les serveurs Doki sont devenus une cible populaire pour les cybercriminels, mais c’est le premier cas dans lequel Dogecoin est impliqué.

Comme rapporté par PassionCrypto, la pièce de monnaie privée Monero (XMR) est considérée comme le chouchou des cryptojackers, près de quatre pour cent de l’approvisionnement de la pièce étant leur travail.

En mai, il a été révélé que les serveurs de base de données Microsoft SQL avaient été infectés pour exploiter illégalement XMR.

Laisser un commentaire