Orchard es el nombre de un nuevo botnet aprovechando la información de transacción de la cuenta del creador de Bitcoin, Satoshi Nakamoto, para generar DGA [Algoritmos de generación de dominios] nombres de dominio. Esto se hace para ocultar la infraestructura de mando y control de la botnet..
“Debido a la incertidumbre de las transacciones de Bitcoin, esta técnica es más impredecible que usar los DGA comunes generados en el tiempo, y por lo tanto más difícil de defender contra," dicho 360 Investigadores de Netlab en una publicación de blog reciente. Los investigadores descubrieron la técnica en una familia de botnets a las que llamaron Orchard.. Desde febrero 2021, la botnet ha lanzado tres versiones, y ha cambiado los lenguajes de programación en el medio.
¿Por qué la botnet Orchard usa DGA??
El propósito de usar la técnica DGA es simple – instalar varios otros programas maliciosos en la máquina comprometida. La botnet está equipada con un mecanismo de comando y control redundante que contiene un dominio codificado y DGA, con cada versión codificando un nombre de dominio dinámico DuckDNS único como C&C.
La red de bots Orchard también es capaz de cargar información de dispositivos y usuarios e infectar dispositivos USB para propagarse aún más.. Hasta aquí, Al menos 3,000 las máquinas han sido infectadas, la mayoría de los cuales en China. El malware ha estado recibiendo múltiples actualizaciones significativas en el último año., y ha cambiado del lenguaje Golang a C++ para su tercera variante. La versión más reciente contiene características para lanzar un programa de minería XMRig para acuñar Monero (DVDRip) aprovechando los recursos informáticos de la víctima.
En términos de escala de infección, el equipo de investigación evaluó que v1 y v2 tienen miles de nodos, y v3 tiene menos por su aparición tardía. Las funciones que tienen las tres versiones son las mismas, Incluido:
- Carga de información del dispositivo y del usuario;
- Respondiendo a los comandos y descargando para ejecutar la siguiente etapa del módulo;
- Infección de dispositivos de almacenamiento USB.
“En el momento de escribir, descubrimos que otros investigadores habían notado recientemente este uso de la información de transacción de la cuenta de bitcoin como entrada DGA para v3. Los resultados de su análisis coincidieron con los nuestros., pero no se dieron cuenta de que Orchard en realidad había existido durante mucho tiempo,” el informe célebre.
Milena Dimitrova
Un escritor inspirado y administrador de contenido que ha estado con SensorsTechForum desde que comenzó el proyecto.. Un profesional con 10+ años de experiencia en la creación de contenido atractivo. Centrado en la privacidad de los usuarios y el desarrollo de malware, ella cree firmemente en un mundo donde la seguridad cibernética juega un papel central. Si el sentido común no tiene sentido, ella estará allí para tomar notas. Esas notas pueden convertirse más tarde en artículos! Siga Milena @Milenyim
Sígueme: