Un nouveau botnet nommé Orchard a été observé en utilisant les informations de transaction du compte du créateur de Bitcoin Satoshi Nakamoto pour générer des noms de domaine afin de dissimuler son infrastructure de commande et de contrôle (C2).
« En raison de l’incertitude des transactions Bitcoin, cette technique est plus imprévisible que l’utilisation du temps commun généré [domain generation algorithms]et donc plus difficile à défendre », ont déclaré des chercheurs de l’équipe de sécurité Netlab de Qihoo 360. a dit dans un article du vendredi.
Orchard aurait subi trois révisions depuis février 2021, le botnet étant principalement utilisé pour déployer des charges utiles supplémentaires sur la machine d’une victime et exécuter les commandes reçues du serveur C2.
Il est également conçu pour télécharger des informations sur l’appareil et l’utilisateur, ainsi que pour infecter les périphériques de stockage USB afin de propager le logiciel malveillant. L’analyse de Netlab montre qu’à ce jour, plus de 3 000 hôtes ont été réduits en esclavage par le logiciel malveillant, la plupart situés en Chine.
Orchard a également fait l’objet de mises à jour importantes en plus d’un an, dont l’une implique un bref rendez-vous avec Golang pour sa mise en œuvre, avant de revenir à C++ dans sa troisième itération.
En plus de cela, la dernière version intègre des fonctionnalités permettant de lancer un programme de minage XMRig pour monnayer Monero (XMR) en abusant des ressources du système compromis.
Un autre changement concerne l’utilisation de l’algorithme DGA employé dans les attaques. Alors que les deux premières variantes reposent exclusivement sur des chaînes de date pour générer les noms de domaine, la nouvelle version utilise les informations de solde obtenues à partir de l’adresse du portefeuille de crypto-monnaie « 1A1zP1eP5QGefi2DMPTfTL5SLmv7DivfNa. »
Il convient de souligner que l’adresse du portefeuille est l’adresse de réception de la récompense du mineur du Bitcoin Bloc Genèsequi eu lieu le 3 janvier 2009, et serait détenu par Nakamoto.
« Au cours de la dernière décennie environ, de petites quantités de bitcoins ont été transférées quotidiennement vers ce portefeuille pour diverses raisons, il est donc variable et ce changement est difficile à prévoir, de sorte que les informations de solde de ce portefeuille peuvent également être utilisées comme contribution de la DGA », ont déclaré les chercheurs.
Les découvertes surviennent alors que les chercheurs ont dévoilé un malware naissant de botnet IoT nommé RapperBot qui a été repéré en forçant brutalement les serveurs SSH pour mener potentiellement des attaques par déni de service distribué (DDoS).