Uma nova campanha visando serviços vulneráveis do Docker instala um minerador XMRig e o visualizador 9hits em hosts comprometidos, permitindo uma dupla estratégia de monetização.
9hits é uma plataforma de troca de tráfego da web onde os membros podem direcionar o tráfego para os sites uns dos outros.
Esse tráfego é gerado por um aplicativo visualizador do 9hits que é instalado nos dispositivos dos membros, que usa uma instância do Chrome sem cabeçalho para visitar sites solicitados por outros membros.
Em troca, esses usuários ganham créditos, que podem ser usados para pagar pelo tráfego para seus próprios sites.
Em uma campanha descoberta pela Cado Security, os atacantes implantam o aplicativo visualizador do 9hits em hosts Docker comprometidos para gerar créditos para eles mesmos, explorando os recursos desses sistemas para direcionar o tráfego como parte do sistema de troca de tráfego do 9hits.
"Este é o primeiro caso documentado de malware implantando o aplicativo 9hits como um payload", explica um relatório da Cado Security compartilhado com o BleepingComputer.
Embora não esteja claro como os atores de ameaças encontram sistemas para violar, a Cado acredita que os atacantes provavelmente usam um produto de varredura de rede como o Shodan para descobrir servidores vulneráveis e violá-los para implantar contêineres maliciosos via API do Docker.
Os contêineres estão em imagens provenientes do Dockerhub para reduzir a suspeita.
O script propagador capturado no honeypot Docker da Cado usa o CLI do Docker para definir a variável DOCKER_HOST e usa chamadas API típicas para puxar e executar os contêineres.
O contêiner do 9hits executa um script (nh.sh) com um token de sessão, permitindo que ele autentique e gere créditos para o atacante visitando uma lista de sites.
O sistema de token de sessão é projetado para operar com segurança, mesmo em ambientes não confiáveis, permitindo que o atacante gere lucro sem o risco de ser banido.
Os atacantes definiram argumentos específicos para o aplicativo 9hits, como permitir pop-ups ou visitar sites adultos, mas proibem sites relacionados a criptomoedas.
O outro contêiner executa um minerador XMRig que minera a criptomoeda Monero para o atacante, usando os recursos do sistema em nuvem.
O minerador se conecta a uma pool de mineração privada, tornando impossível rastrear a escala ou os lucros da campanha.
A Cado observa que o domínio usado para a pool de mineração sugere que o atacante pode usar serviços de DNS dinâmico para manter o controle.
"O principal impacto desta campanha em hosts comprometidos é a exaustão de recursos, pois o minerador XMRig usará todos os recursos da CPU disponíveis enquanto o 9hits usará uma grande quantidade de largura de banda, memória, e o pouco de CPU que resta", comenta a Cado Security no relatório.
"O resultado disso é que as cargas de trabalho legítimas nos servidores infectados não serão capazes de funcionar conforme o esperado."
A campanha descoberta pela Cado mostra que os atores de ameaças estão constantemente explorando canais alternativos de monetização além dos métodos tradicionais, como a mineração de criptomoedas, diversificando seus ataques e seguindo avenidas mais discretas.
Plataformas abusadas por atores de ameaças, como o 9hits, precisam de verificações e políticas de segurança mais rigorosas para evitar o uso não autorizado de seus aplicativos que podem causar danos financeiros e interrupções nas organizações.
Entidades que investem em ambientes de computação em nuvem são chamadas para navegar em uma paisagem complicada.
Para isso, é necessário usar modelos de zero-trust, Plataformas de Proteção de Carga de Trabalho em Nuvem (CWPP) e Gerenciamento da Postura de Segurança em Nuvem (CSPM) para melhorar a visibilidade, gerenciar configurações e proteger ativos expostos.
Publicidade
O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...