Nesta página: [ocultar]
Pesquisadores de segurança descobriram que o malware Doki está sendo usado ativamente por grupos de hackers para infectar servidores Docker. Todas as empresas populares de hospedagem na web e redes corporativas estão sujeitas aos ataques em andamento. Uma das razões pelas quais esse ataque é considerado particularmente perigoso é o fato de várias redes de bots terem sido usadas para distribuí-lo.
Servidores Docker estão sob ataque do Doki Malware!
Os servidores Docker estão sendo atacados por um novo malware conhecido como Doc. Tudo isso é feito pelo Ngrok Botnet, uma rede perigosa de hosts infectados ativa por pelo menos dois anos. O malware em si é um vírus Linux não detectado anteriormente que aproveita o grande número de hosts comprometidos. Essa botnet está configurada para expor servidores Docker hospedados em plataformas em nuvem populares, como Azure e Amazon AWS.
A técnica utilizada é completamente nova — uma carteira blockchain está gerando os servidores de comando e controle usados para comunicações de hackers. A criptomoeda em uso para isso foi Dogecoin — seu algoritmo foi abusado para gerar dinamicamente o endereço usado, criar o endereço necessário sobre o qual as comunicações criminais são feitas. Como isso constantemente produz novos endereços, o malware permanece sem ser detectado por aproximadamente 6 meses.
Leia também Malware Stealthworker usado para seqüestrar sites WordPress
A falha explora contêineres Docker configurados incorretamente - o método mais comumente usado é a exploração de imagens que contêm o software curl - um programa usado para recuperar arquivos de locais remotos. Os atacantes remotos podem implantar imagens contendo malware na Internet - estratégias comuns de phishing podem ser empregadas para fazer com que os usuários baixem e implantem em seus servidores.
Leia também Como testar a segurança do seu site WordPress
Enquanto a rede botnet pode procurar instâncias vulneráveis do Docker, ao mesmo tempo, os grupos criminosos também podem usar várias estratégias de phishing para espalhar as cópias infectadas. O malware Doki funciona configurando parâmetros e permissões no serviço de hospedagem em nuvem, permitindo que os atacantes remotos os acessem. A botnet Ngrok também inclui um script que estabelece um túnel seguro entre os hosts infectados e os hackers. Os URLs são únicos e mantidos apenas por uma vida útil curta. Uma vez ativado, eles baixam os scripts remotos automaticamente. Os casos de malware do Doki podem ser configurados para executar qualquer uma das seguintes ações:
- Infecções adicionais por vírus — O malware Doki pode ser usado para implantar outros vírus nas máquinas infectadas. Os mais comuns são mineradores de criptomoeda — scripts que recuperam tarefas com alto desempenho de um host remoto. Para cada tarefa concluída e relatada, os hackers receberão ativos de criptomoeda como pagamento.
- Manipulação do sistema — O Doki Malware pode ser usado para manipular o sistema para reconfigurar os hosts contaminados.
- Aquisição de Host — Usando o malware Doki, os hackers podem assumir completamente os servidores infectados, assumindo o controle ou roubando os arquivos armazenados.
Se você estiver executando um contêiner Docker, recomendamos que um verificação de segurança completa é feita. Revise as permissões das pastas e sistemas de arquivos para ver se mais alguém além de você tem acesso aos dados armazenados.