Orchard è il nome di un nuovo botnet sfruttando le informazioni sulle transazioni dell'account del creatore di Bitcoin Satoshi Nakamoto per generare DGA [Algoritmi di generazione del dominio] nomi di dominio. Questo viene fatto per nascondere l'infrastruttura di comando e controllo della botnet.
"A causa dell'incertezza delle transazioni Bitcoin, questa tecnica è più imprevedibile rispetto all'utilizzo dei comuni DGA generati dal tempo, e quindi più difficile difendersi," disse 360 Ricercatori Netlab in un recente post sul blog. I ricercatori hanno scoperto la tecnica in una famiglia di botnet che hanno chiamato Orchard. Dal febbraio 2021, la botnet ha rilasciato tre versioni, e ha cambiato linguaggi di programmazione in mezzo.
Perché la botnet del frutteto utilizza DGA?
Lo scopo dell'utilizzo della tecnica DGA è semplice – installare vari altri malware sulla macchina compromessa. La botnet è dotata di un meccanismo di comando e controllo ridondante contenente un dominio hardcoded e DGA, con ogni versione codifica un nome di dominio dinamico DuckDNS univoco come C&C.
La botnet Orchard è anche in grado di caricare informazioni sul dispositivo e sull'utente e infettare i dispositivi USB per diffondersi ulteriormente. Finora, almeno 3,000 macchine sono state infettate, la maggior parte dei quali in Cina. Il malware ha ricevuto numerosi aggiornamenti significativi nell'ultimo anno, ed è passato dal linguaggio Golang al C++ per la sua terza variante. La versione più recente contiene funzionalità per avviare un programma di mining XMRig per coniare Monero (DVDRip) sfruttando le risorse informatiche della vittima.
In termini di scala di infezione, il team di ricerca ha valutato che v1 e v2 hanno migliaia di nodi, e v3 ha meno a causa del suo aspetto tardivo. Le funzioni delle tre versioni sono le stesse, Compreso:
- Caricamento delle informazioni sul dispositivo e sull'utente;
- Rispondere ai comandi e scaricare per eseguire la fase successiva del modulo;
- Infettare i dispositivi di archiviazione USB.
“Al momento della scrittura, abbiamo scoperto che altri ricercatori avevano recentemente notato questo uso delle informazioni sulle transazioni del conto bitcoin come input DGA per v3. I risultati della loro analisi concordavano con i nostri, ma non si accorsero che Orchard esisteva davvero da molto tempo,” il rapporto noto.
Milena Dimitrova
Uno scrittore ispirato e un gestore di contenuti che è stato con SensorsTechForum dall'inizio del progetto. Un professionista con 10+ anni di esperienza nella creazione di contenuti accattivanti. Incentrato sulla privacy degli utenti e lo sviluppo di malware, crede fortemente in un mondo in cui la sicurezza informatica gioca un ruolo centrale. Se il buon senso non ha senso, lei sarà lì per prendere appunti. Quelle note possono poi trasformarsi in articoli! Seguire Milena @Milenyim
Seguimi: