-
Esta es la primera vez que se detecta un programa de criptosecuestro relacionado con Dogecoin.
-
El programa tomaba control sobre servidores alojados en la nube como AWS o Azure.
La firma de ciberseguridad Intezer Labs anunciรณ hace 2 dรญas que la API de Dogechain, un explorador de bloques de la red Dogecoin, estaba siendo utilizada por hackers para instalar un malware capaz de minar la criptomoneda DOGE sin que el usuario estuviera enterado. Un proceso que se conoce como cryptojacking o criptosecuestro.
Este serรญa el primer caso documentando de un secuestro minero asociado con Dogecoin. Este programa operaba en los servidores alojados en sistemas de computaciรณn en la nube como AWS, Azure, entre otros.
En su estudio, Intezer explica que el malware accedรญa a los servidores aprovechรกndose de la deficiente configuraciรณn de seguridad en la API de Docker, una plataforma utilizada para crear servicios en la nube. Una vez dentro del servidor, el malware creaba contenedores para minar, los cuales podรญan ser controlados desde fuera por los hackers.
El troyano encargado de ejecutar la operaciรณn fue designado como Doki, y segรบn Intezer, recibรญa instrucciones de los hackers desde una direcciรณn web que podรญan cambiar, a diferencia de los malware tradicionales que solรญan utilizar un IP fija.
Esta direcciรณn web era determinada por medio de una solicitud al explorador de bloques de Dogechain. La respuesta de esta solicitud contenรญa un hash cuyos primeros 12 valores eran utilizados para construir un servidor DynDNS. Una vez establecida la comunicaciรณn los hackers podรญan operar con el contenedor malicioso.
Si los operadores de los servidores bloqueaban la IP por medio de la cual se comunicaban los hackers esto no importaba. Al malware le bastarรญa con realizar una nueva solicitud a la API de Dogechain para obtener los datos necesarios para crear un nuevo dominio.
Quรฉ hacen los malware de minerรญa
Los malware que se ejecutan en sistemas operativos Linux se estรกn volviendo mรกs comunes. Un factor que contribuye a esto es la creciente dependencia de los servicios en la nube (cloud computing), que se basan principalmente en la infraestructura de Linux. Los hackers han adaptado cada vez mรกs las herramientas y tรฉcnicas que utilizan para aprovecharse de esta infraestructura.
El secuestro de los puertos Docker mal configurados parece ser una tรฉcnica que estรก ganando popularidad entre los hackers. Segรบn Intezer Labs, cualquier servidor que tenga una Docker API abierta al pรบblico puede ser controlador completamente en cuestiรณn de horas. A partir de uno, se pueden ejecutar ataques en cascada con otros servidores cloud con configuraciones vulnerables.
El criptojacking o criptosecuestro es una forma no autorizada de utilizar un equipo para el minado de criptomonedas, para luego enviarlas a una cartera propiedad del hacker. Esta clase de delitos son especialmente frecuentes con Monero, por sus caracterรญsticas de privacidad.
Por ejemplo, CriptoNoticias reportรณ recientemente que fue detectado un programa de criptosecuestro que afectรณ a mรกs de 30 mil computadoras en Perรบ. Otro ejemplo, es que un programa similar fue utilizado en 2018 para infectar miles servidores de Microsoft y AWS, robando alrededor de USD 45 mil dรณlares.