Tecnologia
Compartilhe este artigo

Criptomoeda de Privacidade Dero é Alvo de Novo Malware Autopropagável

O malware se espalhou como um verme e gerou contêineres maliciosos após infectar novos dispositivos.

Por Shaurya Malwa|Editado por Stephen Alpher
28 de mai. de 2025, 1:11 p.m. Traduzido por IA
A hooded figure sits typing on a laptop in a darkened (Pixabay)

O que saber:

  • Uma nova campanha de malware Linux está direcionando infraestruturas Docker não protegidas para criar uma rede de cryptojacking minerando Dero.
  • O ataque explora APIs Docker expostas na porta 2375, utilizando contêineres maliciosos para minerar criptomoeda e se propagar sem um servidor central.
  • A Kaspersky reporta que o malware utiliza implantes baseados em Golang e criptografa dados para evitar detecção, indicando uma evolução das operações anteriores de cryptojacking.

Uma campanha recém-descoberta de malware para Linux está comprometendo infraestruturas Docker desprotegidas mundialmente, transformando servidores expostos em parte de uma rede descentralizada de cryptojacking que minera a criptomoeda de privacidade Dero DERO$0.2188.

A História Continua abaixo
Don't miss another story.Subscribe to the The Protocol Newsletter today. See all newsletters
By signing up, you will receive emails about CoinDesk products and you agree to our terms & conditions and privacy policy.

De acordo com um relatório da empresa de cibersegurança Kaspersky, o ataque começa explorando APIs Docker publicamente expostas pela porta 2375. Uma vez obtido acesso, o malware cria containers maliciosos. Ele infecta containers que já estejam em execução, desviando recursos do sistema para minerar Dero e escanear por novos alvos sem a necessidade de um servidor central de comando.

Em termos de software, um docker é um conjunto de aplicações ou ferramentas e produtos de plataforma que utilizam virtualização a nível de sistema operacional para entregar software em pacotes pequenos chamados containers.

O ator de ameaça por trás da operação implantou dois implantes baseados em Golang: um chamado “nginx” (uma tentativa deliberada de se disfarçar como o software legítimo de servidor web) e outro chamado “cloud”, que é o software real de mineração usado para gerar Dero.

Uma vez que um host era comprometido, o módulo nginx escaneava continuamente a internet em busca de mais nós Docker vulneráveis, usando ferramentas como Masscan para identificar alvos e implantar novos containers infectados.

“Toda a campanha se comporta como um surto de containers zumbis,” escreveram os pesquisadores. “Um nó infectado cria autonomamente novos zumbis para minerar Dero e se espalhar ainda mais. Não é necessário controle externo — apenas mais endpoints Docker mal configurados.”

Para evitar detecção, ele criptografa os dados de configuração, incluindo endereços de carteira e endpoints de nós Dero, e se oculta sob caminhos tipicamente usados por softwares legítimos do sistema.

A Kaspersky identificou a mesma carteira e infraestrutura de nós usada em campanhas anteriores de cryptojacking que visaram clusters Kubernetes em 2023 e 2024, indicando uma evolução de uma operação conhecida, em vez de uma ameaça totalmente nova.

Neste caso, entretanto, o uso da lógica de worm com auto-propagação e a ausência de um servidor central de comando o tornam especialmente resiliente e mais difícil de ser desativado.

No início de maio, mais de 520 APIs Docker estavam publicamente expostas pela porta 2375 no mundo todo — cada uma representando um alvo potencial.