En esta página: [esconder]
Investigadores de seguridad descubrieron que el malware Doki está siendo utilizado activamente por grupos de hackers para infectar servidores Docker. Todas las empresas de alojamiento web y redes empresariales populares son objeto de los ataques en curso.. Una de las razones por las cuales este ataque se considera particularmente peligroso es el hecho de que se han utilizado múltiples botnets para distribuirlo.
Los servidores Docker están bajo ataque por el malware Doki!
Los servidores Docker están siendo atacados por un nuevo malware conocido como Doc. Todo esto lo hace el Botnet Ngrok, Una red peligrosa de hosts infectados que ha estado activa durante al menos dos años.. El malware en sí es un virus Linux previamente no detectado que aprovecha la gran cantidad de hosts comprometidos. Esta botnet está configurada para exponer servidores Docker que están alojados en plataformas en la nube populares como Azure y Amazon AWS.
La técnica utilizada es completamente nueva. — una billetera blockchain está generando los servidores de comando y control utilizados para las comunicaciones de hackers. La criptomoneda en uso para esto fue Dogecoin — se abusó de su algoritmo para generar dinámicamente la dirección que se utilizó para crear la dirección requerida sobre la cual se realizan las comunicaciones criminales. Como esto produce constantemente nuevas direcciones, el malware no ha sido detectado durante aproximadamente 6 meses.
Lea también Stealthworker Malware utilizado para secuestrar sitios de WordPress
La falla explota los contenedores Docker mal configurados: el método más utilizado es explotar imágenes que contienen el software curl, un programa que se utiliza para recuperar archivos de ubicaciones remotas. Los atacantes remotos pueden desplegar imágenes que contienen malware en Internet: se pueden emplear estrategias comunes de phishing para que los usuarios puedan descargarlo e implementarlo en sus servidores.
Lea también Cómo probar la seguridad de tu sitio de WordPress
Mientras que la red botnet puede buscar instancias vulnerables de Docker, al mismo tiempo, los grupos criminales también pueden usar varias estrategias de phishing para difundir las copias infectadas. El malware Doki funciona mediante la configuración de parámetros y permisos en el servicio de alojamiento en la nube al permitir que los atacantes remotos accedan a ellos. La botnet Ngrok también incluye un script que establece un túnel seguro entre los hosts infectados y los hackers.. Las URL son únicas y se mantienen solo durante una corta vida útil.. Una vez activados, descargarán los scripts remotos automáticamente. Los casos de malware Doki se pueden configurar para ejecutar cualquiera de las siguientes acciones:
- Infecciones de virus adicionales — El malware Doki se puede usar para desplegar otros virus en las máquinas infectadas. Los más comunes son mineros de criptomonedas — scripts que recuperarán tareas de alto rendimiento de un host remoto. Por cada tarea completada e informada, los piratas informáticos recibirán activos de criptomoneda como pago.
- Manipulación del sistema — El Doki Malware se puede utilizar para manipular el sistema y reconfigurar los hosts contaminados..
- Toma de control del anfitrión — Usando el malware Doki, los piratas informáticos pueden controlar completamente los servidores infectados tomando el control o robando los archivos almacenados.
Si está ejecutando un contenedor Docker, le recomendamos que se realiza un exhaustivo control de seguridad. Revise los permisos de las carpetas y los sistemas de archivos para ver si otra persona además de usted tiene acceso a los datos almacenados..