Intezerdeki araştırmacılar hackerların Doki isimli kötü amaçlı bir yazılımın genişletilmesi için Dogecoin kullandıklarını keşfetti.
Intezerdeki siber güvenlik araştırmacıları Ngrok adlı bir botnet aracılığıyla dağıtılan Dokiyi C2 domain adresini oluşturmak ve bulut sunucularını ihlal etmek için Dogecoinin farkedilmeksizin kötüye kullanımı olarak tanımlıyor.
Kötü amaçlı yazılım tarafından kullanılan domain adresleri mağdurun ağındaki ek savunmasız bulut sunucularını arıyor.
Intezerin çalışması saldırının konuşlandırılması ile ilgili daha fazla bilgiye yer veriyor :
“Hacker kötü amaçlı yazılımın hangi adresle iletişime geçeceğini cüzdanından belirli bir miktarda Dogecoin aktarımı yaparak kontrol ediyor. Hacker cüzdan üzerinde kontrole sahip olduğu için Dogecoinin yalnızca ne zaman ve ne kadarının aktarılacağını kontrol edebiliyor ve bu sayede alanı buna göre değiştirebiliyor.”
Altı aydan fazla bir süre farkedilmedi
Intezer kripto ile bağlantısız kötü amaçlı bir yazılım yaymak için Dogecoin kullanmanın hem kolluk kuvvetleri hem de güvenlik ürünleri için oldukça dayanıklı olabileceğini belirtiyor. Bu sebeple Doki Ocak ayında VirusTotal veritabanına yüklenmesine rağmen altı ayı aşkın bir süre farkedilmedi.
Yapılan çalışma böyle bir saldırının “çok riskli” olduğuna dikkat çekiyor :
“Elimizdeki kanıtlar yanlış yapılandırılmış yeni bir Docker sunucusunun bu saldırı tarafından enfekte olmasının birkaç saat aldığını gösteriyor.
Son zamanlarda Cisco Systems tehdit istihbarat ekibi “Prometei” adlı yeni bir cryptojacking botnet keşfetti. Bu botnet hem Moneroyu (XMR) kazandırıyor hem de hedefteki sistemden veri çalıyor.