Uma nova campanha de malware está comprometendo infraestruturas Docker mal configuradas, transformando servidores expostos em uma rede descentralizada de mineração da criptomoeda Dero. Identificado por especialistas da Kaspersky, o ataque utiliza APIs Docker expostas na porta 2375 para implantar contêineres maliciosos que mineram criptomoedas e se propagam automaticamente para outros sistemas vulneráveis.
O malware opera com dois componentes principais: "nginx", responsável pela propagação, e "cloud", o minerador de Dero. Ambos são desenvolvidos em Golang e disfarçados para evitar detecção. O "nginx" escaneia a internet em busca de APIs Docker expostas, criando contêineres maliciosos que instalam ferramentas como masscan e docker.io, permitindo a interação com o daemon Docker e a realização de varreduras externas para infectar outras redes.
Após a criação do contêiner, o malware transfere os arquivos "nginx" e "cloud" para o sistema comprometido, configurando o "nginx" para execução automática e garantindo persistência. O minerador "cloud" é baseado no código aberto DeroHE CLI, disponível no GitHub, e utiliza os recursos do sistema para minerar a criptomoeda Dero.
A ausência de um servidor de comando e controle (C2) torna essa ameaça particularmente perigosa, pois qualquer rede com uma API Docker exposta na internet pode ser um alvo em potencial. Especialistas alertam que a sofisticação dessas campanhas reflete a crescente ameaça contra ambientes conteinerizados, como Docker e Kubernetes, amplamente utilizados em infraestruturas modernas.
Na LC SEC, compreendemos a complexidade desses desafios e oferecemos soluções práticas e acessíveis para fortalecer a segurança digital da sua empresa. Nossos serviços incluem testes de intrusão realistas, programas de conscientização em segurança e estruturação de políticas eficazes, ajudando sua organização a se antecipar às ameaças e proteger seus ativos mais valiosos.
Conheça nossas soluções e saiba como podemos ajudar sua empresa a se proteger: lcsec.io