Condividi questo articolo
La criptovaluta privacy Dero è stata presa di mira da un nuovo malware autoriproduttivo.
Il malware si è propagato rapidamente come un verme e ha generato container dannosi dopo aver infettato nuovi dispositivi.
Cosa sapere:
- Una nuova campagna di malware Linux mira alle infrastrutture Docker non protette per creare una rete di cryptojacking che estrae Dero.
- L'attacco sfrutta le API Docker esposte sulla porta 2375, utilizzando container dannosi per minare criptovaluta e diffondersi senza un server centrale.
- Kaspersky segnala che il malware utilizza implant basati su Golang e cripta i dati per evitare il rilevamento, indicando un'evoluzione delle precedenti operazioni di cryptojacking.
Una campagna di malware Linux appena scoperta sta compromettendo infrastrutture Docker non protette in tutto il mondo, trasformando server esposti in parte di una rete decentralizzata di cryptojacking che mina la moneta per la privacy Dero {{DERO}}.
Secondo un rapporto della società di cybersecurity Kaspersky, l'attacco inizia sfruttando le API Docker pubblicamente esposte sulla porta 2375. Una volta ottenuto l'accesso, il malware genera container dannosi. Infetta quelli già in esecuzione, dirottando le risorse di sistema per minare Dero e cercare ulteriori bersagli senza richiedere un server di comando centrale.
In termini software, un docker è un insieme di applicazioni o strumenti e prodotti di piattaforma che utilizzano la virtualizzazione a livello di sistema operativo per fornire software in piccoli pacchetti chiamati container.
L'attore della minaccia dietro l'operazione ha distribuito due impianti basati su Golang: uno chiamato “nginx” (un tentativo deliberato di mascherarsi come il software legittimo del server web) e un altro chiamato “cloud”, che è il vero software di mining utilizzato per generare Dero.
Una volta compromesso un host, il modulo nginx scandagliava continuamente internet alla ricerca di altri nodi Docker vulnerabili, utilizzando strumenti come Masscan per identificare obiettivi e distribuire nuovi container infetti.
“L'intera campagna si comporta come un’epidemia di container zombie,” hanno scritto i ricercatori. “Un nodo infetto crea autonomamente nuovi zombie per minare Dero e propagarsi ulteriormente. Non è necessario alcun controllo esterno — solo altri endpoint Docker mal configurati.”
Per evitare il rilevamento, cifra i dati di configurazione, inclusi gli indirizzi dei wallet e gli endpoint dei nodi Dero, e si nasconde sotto percorsi tipicamente utilizzati da software di sistema legittimi.
Kaspersky ha identificato lo stesso wallet e infrastruttura di nodi usati in campagne di cryptojacking precedenti che hanno preso di mira cluster Kubernetes nel 2023 e 2024, indicando un’evoluzione di un’operazione nota piuttosto che una minaccia completamente nuova.
In questo caso, tuttavia, l’uso della logica di worm auto-propagante e l’assenza di un server di comando centrale lo rendono particolarmente resiliente e più difficile da spegnere.
Alla prima settimana di maggio, oltre 520 API Docker erano pubblicamente esposte sulla porta 2375 in tutto il mondo — ognuna rappresenta un bersaglio potenziale.
Plus pour vous
Il nuovo prodotto di guadagno consente agli utenti di generare ricompense denominate in BTC tramite strategie DeFi, mantenendo al contempo l'esposizione al prezzo del bitcoin.
Ce qu'il:
- Kraken ha lanciato Bitcoin Vault, un nuovo prodotto all’interno di Kraken Earn destinato ai detentori di bitcoin a lungo termine che cercano un rendimento passivo.
- Il prodotto è supportato da Veda e gestito da Sentora, con fondi distribuiti attraverso protocolli DeFi tra cui Aave e Morpho.
- L'offerta più ampia di...
Storie Da Non Perdere
