Se ha observado una nueva botnet llamada Orchard que utiliza la información de transacción de la cuenta del creador de Bitcoin, Satoshi Nakamoto, para generar nombres de dominio para ocultar su infraestructura de comando y control (C2).
“Debido a la incertidumbre de las transacciones de Bitcoin, esta técnica es más impredecible que usar el tiempo común generado [domain generation algorithms]y por lo tanto más difícil de defender”, investigadores del equipo de seguridad Netlab de Qihoo 360 dijo en un artículo del viernes.
Se dice que Orchard se sometió a tres revisiones desde febrero de 2021, y la botnet se usó principalmente para implementar cargas útiles adicionales en la máquina de una víctima y ejecutar comandos recibidos del servidor C2.
También está diseñado para cargar información de dispositivos y usuarios, así como para infectar dispositivos de almacenamiento USB para propagar el malware. El análisis de Netlab muestra que más de 3000 hosts han sido esclavizados por el malware hasta la fecha, la mayoría de ellos ubicados en China.
Orchard también ha sido objeto de importantes actualizaciones durante más de un año, una de las cuales implica una breve cita con Golang para su implementación, antes de volver a C++ en su tercera iteración.
Además de eso, la última versión incorpora características para lanzar un programa de minería XMRig para acuñar Monero (XMR) al abusar de los recursos del sistema comprometido.
Otro cambio se relaciona con el uso del algoritmo DGA empleado en los ataques. Mientras que las dos primeras variantes se basan exclusivamente en cadenas de fecha para generar los nombres de dominio, la versión más nueva usa información de saldo obtenida de la dirección de la billetera de criptomonedas “1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa.”
Vale la pena señalar que la dirección de la billetera es la dirección de recepción de la recompensa del minero de Bitcoin. Bloque Génesiscual ocurrió el 3 de enero de 2009, y se cree que está en manos de Nakamoto.
“Durante la última década, se han transferido diariamente pequeñas cantidades de bitcoin a esta billetera por varias razones, por lo que es variable y ese cambio es difícil de predecir, por lo que la información del saldo de esta billetera también se puede usar como Entrada DGA”, dijeron los investigadores.
Los hallazgos se producen cuando los investigadores revelaron un malware de botnet de IoT naciente con nombre en código RapperBot que ha sido detectado en servidores SSH de fuerza bruta para llevar a cabo ataques distribuidos de denegación de servicio (DDoS).