A tecnologia blockchain usada para criar criptomoedas aparentemente está ajudando redes de botnet a encontrarem sistemas infectados que se tornaram órfãos para explora-las com o objetivo de evitar serem detectadas por sistemas de segurança.
Recentemente, pesquisadores de segurança cibernética descobriram que redes de botnet estão usando campanhas inovadoras de blockchain Bitcoin para evitar que elas sejam detectadas e removidas.
Botnet é uma rede de computadores infectada por softwares maliciosos que podem ser controlados remotamente pelos invasores. Com o computador infectado, os hackers podem enviar spam, espalhar vírus ou executar ataques de DDoS sem o conhecimento ou o consentimento do proprietário da máquina.
Chad Seaman, líder da equipe de segurança da empresa de tecnologia, Akamai, ao analisar uma campanha de botnet de mineração de criptografia de longa duração, descobriu que seus operadores haviam camuflado o endereço IP de seu servidor de comando e controle de backup (C&C) no blockchain Bitcoin.
Em dezembro de 2020, Seaman notou a presença de um endereço de carteira Bitcoin em novas variantes do malware, junto com alguns outros detalhes.
"Ao examinar mais a fundo essas adições, ficou claro que os dados da carteira obtidos da API estavam sendo usados para calcular um endereço IP. Esse IP é então usado para persistência e operações de infecção adicionais", observa Seaman em sua análise do malware.
Os especialistas em segurança desativam frequentemente servidores C&C para desmontar redes de botnets. No entanto, Seaman observa que esta campanha específica de botnet de criptografia está funcionando há mais de três anos, durante os quais ela extraiu Monero no valor de mais de US $ 30.000.
Os operadores do malware têm se adaptado constantemente a quedas e outros contratempos para garantir a continuidade da campanha.
O uso do blockchain Bitcoin é uma das etapas que garantirá que as máquinas infectadas sempre tenham um servidor C&C onde podem se alojar, mesmo se o servidor primário for desativado.
Impressionado com a nova abordagem, Seaman diz que os operadores basicamente incorporaram informações de configuração em um meio que não pode ser apreendido ou censurado.
"Usando este método, os operadores da campanha transformaram possíveis ações ofensivas contra sua infraestrutura de uma interrupção grave, para algo que pode ser recuperado de forma rápida e fácil.", disse Seaman.
Fonte: Arstechnica
