Partager cet article
Crypto confidentielle Dero ciblée par un nouveau logiciel malveillant auto-propagateur.
Le logiciel malveillant s'est propagé comme un ver informatique et a engendré des conteneurs malveillants après avoir infecté de nouveaux appareils.
Ce qu'il:
- Une nouvelle campagne de logiciels malveillants Linux cible les infrastructures Docker non sécurisées afin de créer un réseau de cryptojacking minant du Dero.
- L’attaque exploite les API Docker exposées sur le port 2375, utilisant des conteneurs malveillants pour miner des cryptomonnaies et se propager sans serveur central.
- Kaspersky rapporte que le malware utilise des implants basés sur Golang et crypte les données pour éviter la détection, indiquant une évolution des opérations de cryptojacking précédentes.
Une campagne de logiciels malveillants Linux récemment découverte compromet les infrastructures Docker non sécurisées dans le monde entier, transformant des serveurs exposés en partie d'un réseau décentralisé de cryptojacking qui exploite la cryptomonnaie axée sur la confidentialité Dero {{DERO}}.
Selon un rapport publié par la société de cybersécurité Kaspersky, l'attaque débute par l'exploitation d'API Docker exposées publiquement sur le port 2375. Une fois l'accès obtenu, le logiciel malveillant crée des conteneurs malveillants. Il infecte les conteneurs déjà en fonctionnement, siphonnant les ressources système pour miner du Dero et scanner d'autres cibles sans nécessiter de serveur de commande central.
En termes de logiciels, un docker est un ensemble d'applications ou d'outils et produits de plateforme qui utilise la virtualisation au niveau du système d'exploitation pour fournir des logiciels dans de petits paquets appelés conteneurs.
L'acteur malveillant derrière cette opération a déployé deux implants basés sur Golang : l'un nommé « nginx » (une tentative délibérée de se faire passer pour le logiciel serveur web légitime), et un autre appelé « cloud », qui est le logiciel de minage réel utilisé pour générer du Dero.
Une fois un hôte compromis, le module nginx scannait en continu Internet à la recherche de nouveaux nœuds Docker vulnérables, utilisant des outils comme Masscan pour identifier les cibles et déployer de nouveaux conteneurs infectés.
« Toute la campagne se comporte comme une épidémie de conteneurs zombies », ont écrit les chercheurs. « Un nœud infecté crée de manière autonome de nouveaux zombies pour miner du Dero et se propager davantage. Aucun contrôle externe n’est nécessaire — juste plus de points d’accès Docker mal configurés. »
Pour éviter la détection, il chiffre les données de configuration, y compris les adresses de portefeuille et les points d’accès du nœud Dero, et se dissimule sous des chemins généralement utilisés par des logiciels système légitimes.
Kaspersky a identifié le même portefeuille et l’infrastructure de nœuds utilisés dans des campagnes de cryptojacking antérieures ciblant des clusters Kubernetes en 2023 et 2024, indiquant une évolution d’une opération connue plutôt qu’une menace totalement nouvelle.
Dans ce cas, cependant, l'utilisation d'une logique de ver auto-propagateur et l’absence d’un serveur de commande central le rendent particulièrement résilient et plus difficile à éliminer.
Début mai, plus de 520 API Docker étaient exposées publiquement via le port 2375 dans le monde entier — chacune constituant une cible potentielle.
More For You
Kevin Warsh doit prêter serment en tant que président de la Fed lors d'une cérémonie à la Maison Blanche vendredi matin.
