Novo malware autopropagável explora APIs Docker vulneráveis para mineração ilícita de Criptomoeda Dero

Uma nova campanha de malware, identificada por especialistas em cibersegurança, está explorando instâncias mal configuradas da API do Docker para transformar sistemas em uma rede de bots voltada para a mineração ilícita da criptomoeda Dero. Esse ataque, conduzido por hackers, destaca-se pela capacidade de autorreplicação do malware, que se espalha como um "verme" digital, infectando outros contêineres Docker expostos na internet e expandindo uma vasta rede de mineração clandestina.

De acordo com a Kaspersky, os hackers obtêm acesso inicial explorando APIs Docker configuradas de forma insegura, geralmente expostas na porta padrão 2375. Após comprometer a infraestrutura, os invasores utilizam esse acesso para criar novos contêineres maliciosos e infectar os já existentes, direcionando os recursos das vítimas para a mineração de Dero. "Os contêineres comprometidos não apenas mineram criptomoedas, mas também lançam ataques externos para propagar o malware a outras redes", explicou Amged Wageh, pesquisador de segurança da Kaspersky.

A campanha utiliza dois componentes principais: um malware de propagação chamado "nginx" — projetado para se disfarçar como o servidor web legítimo de mesmo nome — e o minerador de Dero, conhecido como "cloud". Ambos os payloads são desenvolvidos em Golang, uma linguagem de programação moderna que facilita a criação de malwares eficientes. O componente "nginx" escaneia a internet em busca de APIs Docker vulneráveis, gerando sub-redes IPv4 aleatórias para identificar alvos. Quando encontra um sistema vulnerável, o malware verifica se o daemon dockerd está ativo e, em caso positivo, cria um contêiner malicioso com um nome aleatório de 12 caracteres.

Após a criação do contêiner, o malware instala ferramentas como masscan e docker.io, permitindo a interação com o daemon Docker e a realização de varreduras externas para infectar outras redes. Os arquivos "nginx" e "cloud" são transferidos para o contêiner comprometido, e o binário "nginx" é configurado no arquivo "/root/.bash_aliases" para garantir sua execução automática em cada login no shell, estabelecendo persistência no sistema. Além disso, o malware foi projetado para infectar contêineres baseados em Ubuntu, ampliando seu alcance em ambientes vulneráveis.

A campanha tem como objetivo final a execução do minerador de Dero, baseado no código aberto DeroHE CLI, disponível no GitHub. A Kaspersky identificou semelhanças com uma campanha anterior, documentada pela CrowdStrike em março de 2023, que também visava clusters Kubernetes, e uma iteração posterior, relatada pela Wiz em junho de 2024. A ausência de um servidor de comando e controle (C2) torna essa ameaça particularmente perigosa, já que qualquer rede com uma API Docker exposta na internet pode ser um alvo em potencial.

Paralelamente, o AhnLab Security Intelligence Center (ASEC) revelou outra campanha que combina a mineração de Monero com um backdoor inédito, utilizando o protocolo PyBitmessage para comunicação anônima e descentralizada. Esse backdoor executa comandos recebidos como scripts PowerShell, camuflando mensagens maliciosas no tráfego legítimo da rede Bitmessage. Embora o método exato de distribuição permaneça desconhecido, suspeita-se que o malware seja disseminado por meio de versões crackeadas de softwares populares, reforçando a importância de baixar arquivos apenas de fontes confiáveis.

Especialistas alertam que a sofisticação dessas campanhas reflete a crescente ameaça contra ambientes conteinerizados, como Docker e Kubernetes, que são amplamente utilizados em infraestruturas modernas. Para se proteger, empresas e usuários devem garantir configurações seguras de APIs, evitar portas expostas na internet e implementar soluções robustas de monitoramento e detecção de ameaças.

Via - THN