I ricercatori di Cybersecurity hanno dettagliato una campagna di malware che si rivolge agli ambienti Docker con una tecnica precedentemente priva di documenti per estrarre la criptovaluta.
Il cluster di attività, per Darktrace e Cado Safetyrappresenta un passaggio da altre campagne di criptojacking che distribuiscono direttamente Ministi come Xmrig per trarre profitto illecitamente dalle risorse di calcolo.
Ciò comporta la distribuzione di una tensione di malware che si collega a un servizio nascente Web3 chiamato Teneo, una rete di infrastrutture fisiche decentralizzata (DEPIN) che consente agli utenti di monetizzare i dati sui social media pubblici eseguendo un Nodo della comunità in cambio di premi chiamati Punti Teneoche possono essere convertiti in token $ Teneo.
Il nodo funziona essenzialmente come un raschietto di social media distribuito per estrarre publish da Fb, X, Reddit e Tiktok.
Un’analisi degli artefatti raccolti dai suoi honeypot ha rivelato che l’attacco inizia con una richiesta di lancio di un’immagine del contenitore “Kazutod/Tene: dieci“Dal registro Docker Hub. L’immagine è stata caricata due mesi fa ed è stata scaricata 325 volte fino advert oggi.
L’immagine del contenitore è progettata per eseguire uno script Python incorporato che è fortemente offuscato e richiede 63 iterazioni per disimballare il codice effettivo, che imposta una connessione a Teneo (.) Professional.
“Lo script di malware si collega semplicemente al WebSocket e invia pingle Preserve-Alive per ottenere più punti da Teneo e non fa alcun raschiatura reale”, ha detto Darktrace in un rapporto condiviso con Hacker Information. “Sulla base del sito Internet, la maggior parte dei premi sono recintati dietro il numero di battiti cardiaci eseguiti, il che è probabilmente il motivo per cui funziona.”
La campagna ricorda un altro cluster di attività di minaccia dannosa Ciò è noto per infettare le istanze di Docker errate con il software program di visualizzatore 9 HITS al high-quality di generare traffico verso determinati siti in cambio di ottenuto crediti.
Il set di intrusioni è anche simile advert altri schemi di condivisione della larghezza di banda come proxyjacking Ciò comporta il obtain di un software program specifico per condividere risorse Web non utilizzate per una sorta di incentivo finanziario.
“In genere, gli attacchi di criptojacking tradizionali si basano sull’uso di XMrig per estrarre direttamente la criptovaluta, tuttavia poiché XMrig è altamente rilevato, gli aggressori si stanno spostando su metodi alternativi per generare criptovalute”, ha detto Darktrace. “Resta da vedere se questo è più redditizio.”
La divulgazione arriva quando Fortinet FortiGuard Labs ha rivelato un nuovo botnet soprannominato Rusgobot che si sta propagando attraverso i difetti di sicurezza nei dispositivi TotoLink (CVE-2022-26210 e CVE-2022-26187) e Draytek (CVE-2024-12987) con un obiettivo di condurre attacchi DDOS. È stato scoperto che gli sforzi di sfruttamento mirano principalmente al settore tecnologico in Giappone, Taiwan, Vietnam e Messico.
“I dispositivi IoT e Community sono spesso endpoint scarsamente difesi, rendendoli obiettivi attraenti per gli aggressori per sfruttare e fornire programmi dannosi”, il ricercatore della sicurezza Vincent Li disse. “Il rafforzamento del monitoraggio e dell’autenticazione degli endpoint può ridurre significativamente il rischio di sfruttamento e aiutare a mitigare le campagne di malware.”
