Criptomoeda de Privacidade Dero é Alvo de Novo Malware Autopropagável

O malware se espalhou como um verme e gerou contêineres maliciosos após infectar novos dispositivos.

A hooded figure sits typing on a laptop in a darkened (Pixabay)
Summary
  • Uma nova campanha de malware Linux está direcionando infraestruturas Docker não protegidas para criar uma rede de cryptojacking minerando Dero.
  • O ataque explora APIs Docker expostas na porta 2375, utilizando contêineres maliciosos para minerar criptomoeda e se propagar sem um servidor central.
  • A Kaspersky reporta que o malware utiliza implantes baseados em Golang e criptografa dados para evitar detecção, indicando uma evolução das operações anteriores de cryptojacking.

Uma campanha recém-descoberta de malware para Linux está comprometendo infraestruturas Docker desprotegidas mundialmente, transformando servidores expostos em parte de uma rede descentralizada de cryptojacking que minera a criptomoeda de privacidade Dero {{DERO}}.

De acordo com um relatório da empresa de cibersegurança Kaspersky, o ataque começa explorando APIs Docker publicamente expostas pela porta 2375. Uma vez obtido acesso, o malware cria containers maliciosos. Ele infecta containers que já estejam em execução, desviando recursos do sistema para minerar Dero e escanear por novos alvos sem a necessidade de um servidor central de comando.

Em termos de software, um docker é um conjunto de aplicações ou ferramentas e produtos de plataforma que utilizam virtualização a nível de sistema operacional para entregar software em pacotes pequenos chamados containers.

O ator de ameaça por trás da operação implantou dois implantes baseados em Golang: um chamado “nginx” (uma tentativa deliberada de se disfarçar como o software legítimo de servidor web) e outro chamado “cloud”, que é o software real de mineração usado para gerar Dero.

Uma vez que um host era comprometido, o módulo nginx escaneava continuamente a internet em busca de mais nós Docker vulneráveis, usando ferramentas como Masscan para identificar alvos e implantar novos containers infectados.

“Toda a campanha se comporta como um surto de containers zumbis,” escreveram os pesquisadores. “Um nó infectado cria autonomamente novos zumbis para minerar Dero e se espalhar ainda mais. Não é necessário controle externo — apenas mais endpoints Docker mal configurados.”

Para evitar detecção, ele criptografa os dados de configuração, incluindo endereços de carteira e endpoints de nós Dero, e se oculta sob caminhos tipicamente usados por softwares legítimos do sistema.

A Kaspersky identificou a mesma carteira e infraestrutura de nós usada em campanhas anteriores de cryptojacking que visaram clusters Kubernetes em 2023 e 2024, indicando uma evolução de uma operação conhecida, em vez de uma ameaça totalmente nova.

Neste caso, entretanto, o uso da lógica de worm com auto-propagação e a ausência de um servidor central de comando o tornam especialmente resiliente e mais difícil de ser desativado.

No início de maio, mais de 520 APIs Docker estavam publicamente expostas pela porta 2375 no mundo todo — cada uma representando um alvo potencial.

ER June 2026 Image

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.

Por que é importante:

CEX trading volumes rose for the first time in five months in June, with spot climbing 15.3% to $1.11T and RWA perpetual volumes surging to a record $311B.