Los servicios vulnerables de Docker están siendo objeto de una novedosa campaña en la que los actores de amenazas están implementando el minero de criptomonedas XMRig, así como el software 9Hits Viewer como parte de una estrategia de monetización de múltiples frentes.
“Este es el primer caso documentado de malware que implementa la aplicación 9Hits como carga útil”, dijo la empresa de seguridad en la nube Cado. dichoy agregó que el desarrollo es una señal de que los adversarios siempre están buscando diversificar sus estrategias para ganar dinero con los hosts comprometidos.
9 hits anuncia a sí mismo como una “solución única de tráfico web” y un “intercambio de tráfico automático” que permite a los miembros del servicio dirigir tráfico a sus sitios a cambio de comprar créditos.
Esto se logra mediante un software llamado 9Hits Viewer, que ejecuta una instancia del navegador Chrome sin cabeza para visitar sitios web solicitados por otros miembros, por lo que obtienen créditos para pagar por generar tráfico a sus sitios.
Actualmente no está claro el método exacto utilizado para propagar el malware a hosts Docker vulnerables, pero se sospecha que implica el uso de motores de búsqueda como Shodan para buscar posibles objetivos.
Luego, se violan los servidores para implementar dos contenedores maliciosos a través de la API de Docker y obtener imágenes disponibles en el mercado de la biblioteca Docker Hub para el software 9Hits y XMRig.
“Este es un vector de ataque común para campañas dirigidas a Docker, donde en lugar de buscar una imagen personalizada para sus propósitos, extraen una imagen genérica de Dockerhub (que casi siempre será accesible) y la aprovechan para sus necesidades”, dijo el investigador de seguridad Nate Bill. .
Luego, el contenedor 9Hits se usa para ejecutar código para generar créditos para el atacante autenticándose con 9Hits usando su token de sesión y extrayendo la lista de sitios para visitar.
Los actores de amenazas también han configurado el esquema para permitir visitar sitios para adultos o sitios que muestran ventanas emergentes, pero impiden visitar sitios relacionados con criptomonedas.
El otro contenedor se utiliza para ejecutar un minero XMRig que se conecta a un grupo de minería privado, lo que hace imposible determinar la escala y la rentabilidad de la campaña.
“El principal impacto de esta campaña en los hosts comprometidos es el agotamiento de los recursos, ya que el minero XMRig utilizará todos los recursos de CPU disponibles mientras que 9hits utilizará una gran cantidad de ancho de banda, memoria y la poca CPU que quede”, dijo Bill.
“El resultado de esto es que las cargas de trabajo legítimas en los servidores infectados no podrán funcionar como se esperaba. Además, la campaña podría actualizarse para dejar un shell remoto en el sistema, lo que podría causar una infracción más grave”.