Alerta vermelho: novo malware transforma servidores Docker em mineradores de criptografia!

Alerta vermelho: novo malware transforma servidores Docker em mineradores de criptografia!

Uma nova campanha de malware visa especificamente instâncias de API Docker mal configuradas e as usa para criar uma rede de bots ilegal para minerar a criptomoeda Dero. Os pesquisadores de segurança da Kaspersky descobriram que um agente de ameaça desconhecido está explorando vulnerabilidades em APIs Docker publicadas de forma insegura. O malware exibe recursos semelhantes aos de um worm que permitem que ele se espalhe para outras instâncias do Docker, facilitando muito sua propagação. Contêineres comprometidos são usados ​​para minerar criptomoedas e realizar ataques externos.

O ataque ocorre por meio de dois componentes principais: um malware espalhado que se disfarça como um servidor web nginx legítimo e procura APIs Docker expostas, e o minerador de criptomoedas Dero. Ambos os componentes são desenvolvidos em Golang. O malware registra suas atividades, inicia o minerador e gera sub-redes de rede IPv4 aleatórias para identificar instâncias vulneráveis ​​adicionais do Docker. Em particular, as instâncias com a porta API padrão 2375 aberta são direcionadas. Além da mineração dero, a capacidade do malware de infectar contêineres baseados no Ubuntu também é alarmante.

Abordagem atípica dos atacantes

Pesquisadores de segurança cibernética da Trend Micro relatam uma “abordagem pouco ortodoxa” para esses ataques. Eles descobriram que os invasores têm como alvo servidores API remotos Docker vulneráveis ​​e aproveitam o protocolo gRPC sobre h2c para contornar as soluções de segurança existentes. Primeiro, os invasores verificam a disponibilidade e a versão da API Docker. Eles então enviam solicitações para atualizar a conexão gRPC/h2c para manipular a funcionalidade do Docker e implementar sua carga útil de mineração.

Após atualizar a conexão, pode ser criado um contêiner que será utilizado para mineração de criptomoedas. É usado o SRBMiner, que está hospedado no GitHub. Embora o SRBMiner se destine, em última análise, à mineração do token XRP, que faz parte da blockchain Ripple, é importante observar que o XRP é um token cunhado e, portanto, não pode ser minerado. Porém, o SRBMiner também utiliza algoritmos como RandomX e KawPow, que podem gerar tokens como Monero, Ravencoin, Haven Protocol, Wownero e Firo. Acredita-se que os invasores minerem principalmente o Monero, já que esse token é muito procurado pelos cibercriminosos devido aos seus recursos de privacidade e anonimato.

Recomendações para proteger servidores Docker API

Os especialistas em segurança da Trend Micro recomendam proteger os servidores API remotos do Docker com controles de acesso e mecanismos de autenticação mais fortes. Os usuários devem monitorar regularmente seus servidores em busca de atividades incomuns e implementar práticas recomendadas para proteger os contêineres. Como esta campanha de malware é consistente com atividades semelhantes documentadas anteriormente pela CrowdStrike em março de 2023, é essencial que as organizações reconsiderem e adaptem as suas precauções de segurança.

Para obter mais informações sobre as atuais ameaças de malware de autopropagação, visite TI aparafusado e TechRadar.