Les services Docker vulnérables sont ciblés par une nouvelle campagne dans laquelle les acteurs de la menace déploient le mineur de crypto-monnaie XMRig ainsi que le logiciel 9Hits Viewer dans le cadre d’une stratégie de monétisation à plusieurs volets.
« Il s’agit du premier cas documenté de malware déployant l’application 9Hits en tant que charge utile », a déclaré la société de sécurité cloud Cado. ditajoutant que ce développement est un signe que les adversaires sont toujours à la recherche de diversification de leurs stratégies pour gagner de l’argent grâce aux hôtes compromis.
9 coups annonce se présente comme une « solution de trafic Web unique » et un « échange de trafic automatique » qui permet aux membres du service de générer du trafic vers leurs sites en échange d’achat de crédits.
Ceci est accompli au moyen d’un logiciel appelé 9Hits Viewer, qui exécute une instance de navigateur Chrome sans tête pour visiter les sites Web demandés par d’autres membres, pour lesquels ils gagnent des crédits à payer pour générer du trafic vers leurs sites.
La méthode exacte utilisée pour propager le malware aux hôtes Docker vulnérables n’est pas claire pour le moment, mais elle est soupçonnée d’impliquer l’utilisation de moteurs de recherche comme Shodan pour rechercher des cibles potentielles.
Les serveurs sont ensuite violés pour déployer deux conteneurs malveillants via l’API Docker et récupérer des images prêtes à l’emploi de la bibliothèque Docker Hub pour les logiciels 9Hits et XMRig.
« Il s’agit d’un vecteur d’attaque courant pour les campagnes ciblant Docker, où au lieu de récupérer une image sur mesure pour leurs besoins, ils extraient une image générique de Dockerhub (qui sera presque toujours accessible) et l’exploitent pour leurs besoins », a déclaré le chercheur en sécurité Nate Bill. .
Le conteneur 9Hits est ensuite utilisé pour exécuter du code afin de générer des crédits pour l’attaquant en s’authentifiant auprès de 9Hits à l’aide de son jeton de session et en extrayant la liste des sites à visiter.
Les auteurs de la menace ont également configuré le système pour autoriser la visite de sites pour adultes ou de sites affichant des fenêtres contextuelles, mais l’empêcher de visiter des sites liés à la crypto-monnaie.
L’autre conteneur est utilisé pour exécuter un mineur XMRig qui se connecte à un pool minier privé, ce qui rend impossible la détermination de l’ampleur et de la rentabilité de la campagne.
« Le principal impact de cette campagne sur les hôtes compromis est l’épuisement des ressources, car le mineur XMRig utilisera toutes les ressources CPU disponibles, tandis que 9hits utilisera une grande quantité de bande passante, de mémoire et le peu de CPU restant », a déclaré Bill.
« Le résultat est que les charges de travail légitimes sur les serveurs infectés ne pourront pas fonctionner comme prévu. De plus, la campagne pourrait être mise à jour pour laisser un shell distant sur le système, provoquant potentiellement une violation plus grave. »