Hackers exploram falha em nó Web3 Teneo para minerar criptomoedas em Docker

Pesquisadores detalharam uma campanha de malware que está mirando ambientes Docker com uma técnica previamente não documentada para minerar criptomoedas.

O aglomerado de atividades, de acordo com a Darktrace e a Cado Security, representa uma mudança em relação a outras campanhas de cryptojacking que implantam diretamente miners como o XMRig para lucrar ilicitamente com os recursos computacionais.

Esta campanha envolve a implantação de uma cepa de malware que se conecta a um serviço Web3 emergente chamado Teneo, uma rede física de infraestrutura descentralizada (DePIN) que permite aos usuários monetizar dados públicos de mídia social executando um Nó Comunitário em troca de recompensas chamadas Pontos Teneo, que podem ser convertidos em Tokens $TENEO.

O nó essencialmente funciona como um coletor de dados de mídia social distribuído para extrair posts do Facebook, X (antigo Twitter), Reddit e TikTok.

Uma análise de artefatos coletados de seus honeypots revelou que o ataque começa com uma solicitação para iniciar uma imagem de contêiner "kazutod/tene:ten" do registro Docker Hub. A imagem foi carregada há dois meses e foi baixada 325 vezes até o momento.

A imagem do contêiner é projetada para executar um script Python embutido que é fortemente ofuscado e requer 63 iterações para descompactar o código real, que estabelece uma conexão com teneo[.]pro.

"O script de malware simplesmente se conecta ao WebSocket e envia pings de keep-alive para ganhar mais pontos do Teneo e não faz nenhuma raspagem real", disse a Darktrace em um relatório compartilhado com o The Hacker News. "Com base no site, a maioria das recompensas está condicionada ao número de heartbeats realizados, o que provavelmente explica por que isso funciona."

A campanha lembra outro aglomerado de atividades de ameaças maliciosas conhecido por infectar instâncias Docker mal configuradas com o software 9Hits Viewer para gerar tráfego para certos sites em troca de créditos.

O conjunto de intrusão também é semelhante a outros esquemas de compartilhamento de largura de banda, como o proxyjacking, que envolve o download de um software específico para compartilhar recursos de internet não utilizados por algum tipo de incentivo financeiro.

"Normalmente, os ataques tradicionais de cryptojacking dependem do uso do XMRig para minerar criptomoedas diretamente, no entanto, como o XMRig é altamente detectado, os invasores estão mudando para métodos alternativos de geração de criptomoedas", disse a Darktrace. "Se isso é mais lucrativo, ainda está para ser visto."

A divulgação ocorre no momento em que o Fortinet FortiGuard Labs revelou uma nova botnet apelidada de RustoBot que está se propagando por meio de falhas de segurança em dispositivos TOTOLINK (CVE-2022-26210 e CVE-2022-26187) e DrayTek (CVE-2024-12987) com o objetivo de conduzir ataques DDoS. Os esforços de exploração foram encontrados principalmente visando o setor de tecnologia no Japão, Taiwan, Vietnã e México.

"Dispositivos IoT e de rede são frequentemente endpoints mal defendidos, tornando-os alvos atraentes para os hackers explorarem e entregarem programas maliciosos", disse o pesquisador de segurança Vincent Li. "Fortalecer o monitoramento de endpoints e a autenticação pode reduzir significativamente o risco de exploração e ajudar a mitigar campanhas de malware."

Via - THN