Pesquisadores em cybersecurity descobriram uma variante de uma campanha recentemente revelada que utiliza a rede TOR para ataques de cryptojacking direcionados a APIs Docker expostas.
A Akamai, que identificou a atividade mais recente no mês passado, afirmou que a campanha tem como objetivo bloquear outros agentes de acesso à API Docker pela internet.
As descobertas complementam um relatório anterior da Trend Micro, de final de junho de 2025, que revelou uma campanha maliciosa focada em instâncias Docker expostas para, de forma furtiva, instalar um minerador de criptomoeda XMRig, utilizando um domínio TOR para garantir o anonimato.
"Esta nova versão parece empregar ferramentas similares às do ataque original, mas pode ter um objetivo final diferente – possivelmente estabelecendo a base para um botnet complexo", afirmou o pesquisador de segurança Yonatan Gilvarg.
A cadeia do ataque envolve basicamente a invasão de APIs Docker mal configuradas para executar um novo container baseado na imagem Alpine Docker, montando o sistema de arquivos do host no container.
Em seguida, os invasores executam um payload codificado em Base64 para baixar um shell script de um domínio .onion.
Além de modificar as configurações do SSH para garantir persistência, o script também instala ferramentas como masscan, libpcap, libpcap-dev, zstd e torsocks para realizar reconhecimento de rede, contatar um servidor de command-and-control (C2) e baixar um arquivo binário compactado de um segundo domínio .onion.
"O primeiro arquivo baixado é um dropper escrito em Go, que já inclui o conteúdo que deseja depositar, por isso não precisa se comunicar com a internet", explicou Gilvarg.
Além de soltar outro arquivo binário, ele analisa o arquivo utmp para identificar quem está atualmente logado na máquina.
Curiosamente, o código-fonte do arquivo binário inclui um emoji para representar os usuários conectados ao sistema, o que pode indicar que o artefato foi criado utilizando um large language model (LLM).
O dropper também executa o Masscan para escanear a internet em busca de serviços Docker API abertos na porta 2375, propagando a infecção a essas máquinas ao repetir o processo de criação do container com o comando codificado em Base64.
Além disso, o binário realiza verificações em duas outras portas: 23 (Telnet) e 9222 (porta de depuração remota para navegadores Chromium), embora a funcionalidade para se espalhar por essas portas ainda não esteja completa.
O método de ataque via Telnet envolve o uso de conjuntos conhecidos de credenciais padrão para roteadores e dispositivos, realizando brute-force nos logins e exfiltrando tentativas de autenticação bem-sucedidas para um endpoint webhook[.]site, com informações sobre o IP de destino e as credenciais da vítima.
No caso da porta 9222, o malware utiliza uma biblioteca Go chamada chromedp para interagir com o navegador web.
Essa técnica já foi empregada por atores da Coreia do Norte para comunicação com servidores C2 e também por malwares do tipo stealer para contornar a criptografia app-bound do Chrome, conectar-se remotamente a sessões Chromium e extrair cookies e outros dados privados.
O malware então conecta-se a uma sessão remota ativa na porta aberta e envia um POST para o mesmo domínio .onion usado para baixar o shell script, transmitindo informações sobre o IP de origem do malware e o destino acessado na porta 9222.
Os dados são enviados a um endpoint chamado "httpbot/add", o que levanta a possibilidade de que dispositivos com portas de depuração remota expostas para Chrome/Chromium possam ser recrutados em um botnet para entregar payloads adicionais que furtam dados ou conduzem ataques de distributed denial-of-service (DDoS).
"Como o malware atualmente só escaneia a porta 2375, a lógica para lidar com as portas 23 e 9222 ainda não é alcançada e não será executada", disse Gilvarg.
No entanto, a implementação já existe, o que pode indicar capacidades futuras.
Os atacantes podem ganhar controle significativo sobre sistemas afetados por APIs abusadas.
A importância de segmentar redes, limitar a exposição de serviços à internet e proteger credenciais padrão não pode ser subestimada.
Adotando essas medidas, as organizações podem reduzir significativamente sua vulnerabilidade a essas ameaças.
A divulgação ocorre em meio à descrição da Wiz, empresa especializada em segurança na nuvem, sobre uma campanha envolvendo o Amazon Simple Email Service (SES) em maio de 2025, que utilizou chaves de acesso comprometidas da Amazon Web Services (AWS) como ponto de partida para um ataque massivo de phishing.
Ainda não se sabe como as chaves foram obtidas.
Entretanto, há várias formas para que um atacante consiga isso: exposição acidental em repositórios de código públicos, ativos mal configurados ou roubo a partir de estações de trabalho de desenvolvedores por meio de malwares do tipo stealer.
"O atacante utilizou a chave comprometida para acessar o ambiente AWS da vítima, contornando restrições nativas do SES, verificando novas identidades de ‘sender’ e preparando e conduzindo a operação de phishing de forma metódica", explicaram os pesquisadores da Wiz, Itay Harel e Hila Ramati.
A Wiz, que investigou a campanha em parceria com a Proofpoint, afirmou que os e-mails tiveram como alvo diversas organizações em várias geografias e setores, usando iscas com temáticas fiscais para redirecionar os destinatários a páginas fraudulentas de coleta de credenciais.
"Se o SES estiver configurado na sua conta, atacantes podem enviar e-mails a partir dos seus domínios verificados", alertou a Wiz.
"Além do dano à marca, isso possibilita phishing que parece vir de você e pode ser usado para spearphishing, fraude, roubo de dados ou para mascarar processos comerciais."
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...