Llamada Orchard, puede infectar dispositivos de almacenamiento USB para propagar el malware
Se ha observado una nueva botnet llamada Orchard que utiliza la información de transacción de la cuenta del creador de Bitcoin, Satoshi Nakamoto, para generar nombres de dominio para ocultar su infraestructura de comando y control (C2).
"Debido a la incertidumbre de las transacciones de Bitcoin, esta técnica es más impredecible que el uso de [algoritmos de generación de dominio] comunes generados en el tiempo y, por lo tanto, más difícil de defender", dijeron los investigadores del equipo de seguridad Qihoo 360 de Netlab en un artículo del viernes.
Se dice que Orchard se sometió a tres revisiones desde febrero de 2021, y la botnet se usó principalmente para implementar cargas útiles adicionales en la máquina de una víctima y ejecutar comandos recibidos del servidor C2.
También está diseñado para cargar información de dispositivos y usuarios, así como para infectar dispositivos de almacenamiento USB para propagar el malware. El análisis de Netlab muestra que hasta la fecha han sido esclavizados por el malware más de 3.000 hosts, la mayoría de ellos ubicados en China.
Orchard también ha sido objeto de importantes actualizaciones durante más de un año, una de las cuales implica una breve cita con Golang para su implementación, antes de volver a C++ en su tercera iteración.
Además de eso, la última versión incorpora características para lanzar un programa de minería XMRig para acuñar Monero (XMR) al abusar de los recursos del sistema comprometido.
Otro cambio se relaciona con el uso del algoritmo DGA empleado en los ataques. Si bien las dos primeras variantes se basan exclusivamente en cadenas de fecha para generar los nombres de dominio, la versión más nueva usa información de saldo obtenida de la dirección de la billetera de criptomonedas "1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa".
Vale la pena señalar que la dirección de la billetera es la dirección de recepción de la recompensa del minero del Bitcoin Genesis Block, que ocurrió el 3 de enero de 2009, y se cree que está en manos de Nakamoto.
"Durante la última década, se han transferido diariamente pequeñas cantidades de bitcoin a esta billetera por varias razones, por lo que es variable y ese cambio es difícil de predecir, por lo que la información del saldo de esta billetera también se puede usar como Entrada DGA", dijeron los investigadores.
Los hallazgos se producen cuando los investigadores revelaron un malware de botnet de IoT naciente con nombre en código RapperBot que ha sido detectado en servidores SSH de fuerza bruta para llevar a cabo ataques de denegación de servicio distribuido (DDoS).
