Los investigadores de ciberseguridad han detallado una campaña de malware que se dirige a entornos de Docker con una técnica previamente indocumentada para extraer la criptomoneda.
El clúster de actividad, según DarkTrace y Cado Security, representa un cambio de otras campañas de criptojacking que desplegan directamente mineros como XMRIG para beneficiarse ilícitamente de los bienes de enumeración.
Esto implica la implementación de una tensión de malware que se conecta a un servicio Web3 incipiente llamado Teneo, una red descentralizada de infraestructura física (DEPIN) que permite a los usuarios monetizar los datos públicos de las redes sociales al ejecutar un nodo comunitario a cambio de recompensas llamadas Puntos Teneo, que se pueden convertir en $ Teneo Tokens.
El nodo esencialmente funciona como un raspador de redes sociales distribuidos para extraer publicaciones de Facebook, X, Reddit y Tiktok.
Un estudio de artefactos reunidos de sus honeypots ha revelado que el ataque comienza con una solicitud para divulgar una imagen de contenedor “Kazutod/Tene: Ten” del Registro de Docker Hub. La imagen se cargó hace dos meses y se ha descargado 325 veces hasta la plazo.
La imagen del contenedor está diseñada para ejecutar un script de Python incrustado que está muy ofuscado y requiere 63 iteraciones para desempaquetar el código vivo, que establece una conexión a Teneo (.) Pro.
“El script de malware simplemente se conecta al WebSocket y envía pings Keep-Alive para obtener más puntos de Teneo y no hace ningún raspado vivo”, dijo Darktrace en un noticia compartido con Hacker News. “Según el sitio web, la mayoría de las recompensas están cerradas detrás de la cantidad de latidos realizados, por lo que es probable que esto funcione”.
La campaña recuerda a otro clúster de actividad de amenazas maliciosas que se sabe que infectan instancias de Docker mal configurados con el software 9hits Viewer para originar tráfico a ciertos sitios a cambio de obtener créditos.
El conjunto de intrusiones incluso es similar a otros esquemas de intercambio de orondo de lado como Proxyjacking que implican descargar un software específico para compartir bienes de Internet no utilizados para algún tipo de incentivo financiero.
“Por lo genérico, los ataques de criptojacking tradicionales se basan en usar XMRIG para extraer directamente la criptomoneda, sin requisa, como XMRIG es en extremo detectado, los atacantes están cambiando a métodos alternativos para originar criptografía”, dijo Darktrace. “Queda por ver si esto es más rentable”.
La divulgación se produce cuando Fortinet Fortiguard Labs reveló una nueva botnet doblada Rustobot que se propaga a través de fallas de seguridad en Totolink (CVE-2022-26210 y CVE-2022-26187) y los dispositivos Draytek (CVE-2024-12987) con el objetivo de conducir a los ataques Ddos. Se ha enemigo que los esfuerzos de explotación se dirigen principalmente al sector tecnológico en Japón, Taiwán, Vietnam y México.
“Los dispositivos de IoT y de red a menudo son puntos finales mal defendidos, lo que los convierte en objetivos atractivos para que los atacantes exploten y entreguen programas maliciosos”, dijo el investigador de seguridad Vincent Li. “Robustecer el monitoreo y la autenticación del punto final puede achicar significativamente el peligro de explotación y ayudar a mitigar las campañas de malware”.
