Pesquisadores de cibersegurança detalharam uma campanha de malware que está visando ambientes Docker com uma técnica anteriormente não documentada para minerar criptomoeda.
O agrupamento de atividades, segundo Darktrace e Cado Security, representa uma mudança de outras campanhas de cryptojacking que implantam diretamente miners como o XMRig para lucrar ilicitamente dos recursos computacionais.
Isso envolve a implantação de uma cepa de malware que se conecta a um serviço Web3 incipiente chamado Teneo, uma rede de infraestrutura física descentralizada (DePIN) que permite aos usuários monetizar dados de mídia social pública executando um Nó Comunitário em troca de recompensas chamadas Pontos Teneo, que podem ser convertidos em Tokens $TENEO.
O nó essencialmente funciona como um raspador de mídia social distribuído para extrair posts do Facebook, X, Reddit e TikTok.
Uma análise de artefatos coletados das honeypots da Darktrace revelou que o ataque começa com uma solicitação para lançar uma imagem de contêiner "kazutod/tene:ten" do registro do Docker Hub.
A imagem foi carregada há dois meses e foi baixada 325 vezes até a data.
A imagem do contêiner é projetada para executar um script Python embutido que é fortemente ofuscado e requer 63 iterações para desempacotar o código real, que configura uma conexão com teneo[.]pro.
"O script de malware simplesmente se conecta ao WebSocket e envia pings de keep-alive para ganhar mais pontos do Teneo e não faz nenhum scraping real," disse Darktrace em um relatório compartilhado.
Com base no site, a maioria das recompensas está bloqueada atrás do número de heartbeats realizados, que é provavelmente por isso que isso funciona.
A campanha lembra outro agrupamento de atividades de ameaças maliciosas conhecido por infectar instâncias Docker mal configuradas com o software 9Hits Viewer com o objetivo de gerar tráfego para certos sites em troca de créditos.
O conjunto de intrusões também é semelhante a outros esquemas de compartilhamento de banda como o proxyjacking, que envolvem o download de um software específico para compartilhar recursos de internet não utilizados para algum tipo de incentivo financeiro.
"Tipicamente, ataques tradicionais de cryptojacking dependem do uso do XMRig para minerar criptomoedas diretamente, no entanto, como o XMRig é altamente detectado, os atacantes estão mudando para métodos alternativos de geração de cripto," disse Darktrace.
"Se isso é mais lucrativo ainda está para ser visto." A divulgação ocorre enquanto Fortinet FortiGuard Labs revelou um novo botnet chamado RustoBot que está se propagando através de falhas de segurança em dispositivos TOTOLINK (
CVE-2022-26210
e
CVE-2022-26187
) e DrayTek (
CVE-2024-12987
) com o objetivo de conduzir ataques DDoS.
Os esforços de exploração foram encontrados visando principalmente o setor de tecnologia no Japão, Taiwan, Vietnã e México.
"Dispositivos IoT e de rede são frequentemente endpoints mal defendidos, tornando-os alvos atraentes para atacantes explorarem e entregarem programas maliciosos," disse o pesquisador de segurança Vincent Li.
Fortalecer o monitoramento de endpoints e autenticação pode reduzir significativamente o risco de exploração e ajudar a mitigar campanhas de malware. Atualização A imagem do contêiner não está mais disponível para download do Docker Hub.
A conta continua ativa.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...