in

Novo malware para Linux usa API da Dogecoin

Os pesquisadores disseram que o objetivo era permitir que hackers controlassem servidores Alpine Linux.

Em um relatório, a empresa Intezer Labs analisou o Doki, um novo malware para Linux que eles viram no arsenal de um antigo grupo conhecido por direcionar servidores web para fins de mineração de criptomoedas Dogecoin.

O grupo, conhecido como Ngrok, está ativo desde pelo menos final de 2018. Os pesquisadores dizem que, em ataques realizados pelo grupo este ano, os hackers direcionaram as instalações do Docker, onde a API de gerenciamento foi deixada exposta on-line.

Novo malware para Linux usa API da Dogecoin

Os hackers usaram a API do Docker para implantar novos servidores na infraestrutura de nuvem da empresa. Os servidores, executando uma versão do Alpine Linux, foram infectados com malware de mineração de criptomoedas e com o Doki.

Os pesquisadores disseram que o objetivo do Doki era permitir que hackers controlassem servidores Alpine Linux recém-implantados. Como resultado, o malware garantiria que a mineração de criptomoedas estivesse funcionando conforme o planejado.

Novo malware para Linux usa API da Dogecoin
Os pesquisadores dizem que, em ataques realizados pelo grupo este ano, os hackers direcionaram as instalações do Docker, onde a API de gerenciamento foi deixada exposta on-line. Imagem: Intezer.

No entanto, a Intezer diz que o Doki é diferente de cavalos de troia semelhantes. O detalhe mais óbvio foi como o Doki determinou o URL do servidor C&C necessário para conectar-se e obter novas instruções.

Enquanto algumas linhagens de malware se conectam a endereços IP brutos ou URLs codificados incluídos em seu código-fonte, o Doki usou um algoritmo dinâmico para determinar o endereço C&C usando a API da Dogecoin.

Esse mecanismo é uma maneira eficaz de impedir a aplicação da lei de derrubar a infraestrutura de back-end do Doki. Em síntese, eles precisariam assumir o controle da carteira Dogecoin do Ngrok, algo que seria impossível sem a chave criptográfica da carteira.

A Intezer diz que o Doki parece existir desde janeiro deste ano. No entanto, apesar de estar presente há mais de seis meses, o malware permaneceu sem ser detectado na maioria dos mecanismos de verificação Linux atuais.

Fonte: ZDNET

Conheça o Projeto Freta: um serviço que permite encontrar malware nos snapshots de memória do sistema operacional Linux

Kaiji, um novo malware para Linux

Grupo hacker Lazarus lança seu primeiro malware para Linux

Novo malware do Linux explora criptografia após instalar o backdoor com senha mestra secreta