Orchard é o nome de um novo botnet aproveitando as informações de transação da conta do criador do Bitcoin, Satoshi Nakamoto, para gerar DGA [Algoritmos de geração de domínio] nomes de domínio. Isso é feito para ocultar a infraestrutura de comando e controle do botnet.
“Por causa da incerteza das transações Bitcoin, essa técnica é mais imprevisível do que usar os DGAs gerados no tempo comuns, e, portanto, mais difícil de se defender contra," disse 360 Pesquisadores do Netlab em um post recente no blog. Os pesquisadores descobriram a técnica em uma família de botnets que chamaram de Orchard. desde fevereiro 2021, a botnet lançou três versões, e mudou as linguagens de programação entre.
Por que o botnet Orchard está usando DGA?
O objetivo de usar a técnica DGA é simples – instalando vários outros malwares na máquina comprometida. A botnet está equipada com um mecanismo de comando e controle redundante contendo um domínio codificado e DGA, com cada versão codificando um nome de domínio dinâmico DuckDNS exclusivo como C&C.
O botnet Orchard também é capaz de carregar informações do dispositivo e do usuário e infectar dispositivos USB para se espalhar ainda mais. Tão longe, finalmente 3,000 máquinas foram infectadas, a maioria na China. O malware recebeu várias atualizações significativas no ano passado, e mudou da linguagem Golang para C++ para sua terceira variante. A versão mais recente contém recursos para lançar um programa de mineração XMRig para cunhar Monero (XMR) aproveitando os recursos do computador da vítima.
Em termos de escala de infecção, a equipe de pesquisa avaliou que v1 e v2 têm milhares de nós, e v3 tem menos por causa de sua aparência tardia. As funções que as três versões têm são as mesmas, Incluindo:
- Carregar informações do dispositivo e do usuário;
- Respondendo a comandos e baixando para executar a próxima etapa do módulo;
- Infectar dispositivos de armazenamento USB.
“No momento da escrita, descobrimos que outros pesquisadores notaram recentemente esse uso de informações de transações de contas bitcoin como entrada DGA para v3. Os resultados de sua análise concordaram com os nossos, mas eles não perceberam que Orchard já existia há muito tempo,” o relatório notado.
Milena Dimitrova
Um escritor inspirado e gerente de conteúdo que está com SensorsTechForum desde o início do projeto. Um profissional com 10+ anos de experiência na criação de conteúdo envolvente. Focada na privacidade do usuário e desenvolvimento de malware, ela acredita fortemente em um mundo onde a segurança cibernética desempenha um papel central. Se o senso comum não faz sentido, ela vai estar lá para tomar notas. Essas notas podem mais tarde se transformar em artigos! Siga Milena @Milenyim
Me siga: