Los investigadores de ciberseguridad han detallado una campaña de malware que se dirige a entornos de Docker con una técnica previamente indocumentada para extraer la criptomoneda.
El clúster de actividad, según DarkTrace y Cado Security, representa un cambio de otras campañas de criptojacking que desplegan directamente mineros como XMRIG para beneficiarse ilícitamente de los recursos de cómputo.
Esto implica la implementación de una tensión de malware que se conecta a un servicio Web3 naciente llamado Teneo, una red descentralizada de infraestructura física (DEPIN) que permite a los usuarios monetizar los datos públicos de las redes sociales al ejecutar un nodo comunitario a cambio de recompensas llamadas Puntos Teneo, que se pueden convertir en $ Teneo Tokens.
El nodo esencialmente funciona como un raspador de redes sociales distribuidos para extraer publicaciones de Facebook, X, Reddit y Tiktok.
Un análisis de artefactos reunidos de sus honeypots ha revelado que el ataque comienza con una solicitud para lanzar una imagen de contenedor «Kazutod/Tene: Ten» del Registro de Docker Hub. La imagen se cargó hace dos meses y se ha descargado 325 veces hasta la fecha.
La imagen del contenedor está diseñada para ejecutar un script de Python incrustado que está muy ofuscado y requiere 63 iteraciones para desempaquetar el código real, que establece una conexión a Teneo (.) Pro.
«El script de malware simplemente se conecta al WebSocket y envía pings Keep-Alive para obtener más puntos de Teneo y no hace ningún raspado real», dijo Darktrace en un informe compartido con Hacker News. «Según el sitio web, la mayoría de las recompensas están cerradas detrás de la cantidad de latidos realizados, por lo que es probable que esto funcione».
La campaña recuerda a otro clúster de actividad de amenazas maliciosas que se sabe que infectan instancias de Docker mal configurados con el software 9hits Viewer para generar tráfico a ciertos sitios a cambio de obtener créditos.
El conjunto de intrusiones también es similar a otros esquemas de intercambio de ancho de banda como Proxyjacking que implican descargar un software específico para compartir recursos de Internet no utilizados para algún tipo de incentivo financiero.
«Por lo general, los ataques de criptojacking tradicionales se basan en usar XMRIG para extraer directamente la criptomoneda, sin embargo, como XMRIG es altamente detectado, los atacantes están cambiando a métodos alternativos para generar criptografía», dijo Darktrace. «Queda por ver si esto es más rentable».
La divulgación se produce cuando Fortinet Fortiguard Labs reveló una nueva botnet doblada Rustobot que se propaga a través de fallas de seguridad en Totolink (CVE-2022-26210 y CVE-2022-26187) y los dispositivos Draytek (CVE-2024-12987) con el objetivo de conducir a los ataques Ddos. Se ha encontrado que los esfuerzos de explotación se dirigen principalmente al sector tecnológico en Japón, Taiwán, Vietnam y México.
«Los dispositivos de IoT y de red a menudo son puntos finales mal defendidos, lo que los convierte en objetivos atractivos para que los atacantes exploten y entreguen programas maliciosos», dijo el investigador de seguridad Vincent Li. «Fortalecer el monitoreo y la autenticación del punto final puede reducir significativamente el riesgo de explotación y ayudar a mitigar las campañas de malware».
