Doki Malware contra servidores Docker: Botnets usados ​​para distribuição - PT

Imagem do logotipo do malware Doki

Pesquisadores de segurança descobriram que o malware Doki está sendo usado ativamente por grupos de hackers para infectar servidores Docker. Todas as empresas populares de hospedagem na web e redes corporativas estão sujeitas aos ataques em andamento. Uma das razões pelas quais esse ataque é considerado particularmente perigoso é o fato de várias redes de bots terem sido usadas para distribuí-lo.

Servidores Docker estão sob ataque do Doki Malware!

Os servidores Docker estão sendo atacados por um novo malware conhecido como Doc. Tudo isso é feito pelo Ngrok Botnet, uma rede perigosa de hosts infectados ativa por pelo menos dois anos. O malware em si é um vírus Linux não detectado anteriormente que aproveita o grande número de hosts comprometidos. Essa botnet está configurada para expor servidores Docker hospedados em plataformas em nuvem populares, como Azure e Amazon AWS.

A técnica utilizada é completamente nova — uma carteira blockchain está gerando os servidores de comando e controle usados ​​para comunicações de hackers. A criptomoeda em uso para isso foi Dogecoin — seu algoritmo foi abusado para gerar dinamicamente o endereço usado, criar o endereço necessário sobre o qual as comunicações criminais são feitas. Como isso constantemente produz novos endereços, o malware permanece sem ser detectado por aproximadamente 6 meses.


Leia também Malware Stealthworker usado para seqüestrar sites WordPress


A falha explora contêineres Docker configurados incorretamente - o método mais comumente usado é a exploração de imagens que contêm o software curl - um programa usado para recuperar arquivos de locais remotos. Os atacantes remotos podem implantar imagens contendo malware na Internet - estratégias comuns de phishing podem ser empregadas para fazer com que os usuários baixem e implantem em seus servidores.


Leia também Como testar a segurança do seu site WordPress


Enquanto a rede botnet pode procurar instâncias vulneráveis ​​do Docker, ao mesmo tempo, os grupos criminosos também podem usar várias estratégias de phishing para espalhar as cópias infectadas. O malware Doki funciona configurando parâmetros e permissões no serviço de hospedagem em nuvem, permitindo que os atacantes remotos os acessem. A botnet Ngrok também inclui um script que estabelece um túnel seguro entre os hosts infectados e os hackers. Os URLs são únicos e mantidos apenas por uma vida útil curta. Uma vez ativado, eles baixam os scripts remotos automaticamente. Os casos de malware do Doki podem ser configurados para executar qualquer uma das seguintes ações:

  • Infecções adicionais por vírus — O malware Doki pode ser usado para implantar outros vírus nas máquinas infectadas. Os mais comuns são mineradores de criptomoeda — scripts que recuperam tarefas com alto desempenho de um host remoto. Para cada tarefa concluída e relatada, os hackers receberão ativos de criptomoeda como pagamento.
  • Manipulação do sistema — O Doki Malware pode ser usado para manipular o sistema para reconfigurar os hosts contaminados.
  • Aquisição de Host — Usando o malware Doki, os hackers podem assumir completamente os servidores infectados, assumindo o controle ou roubando os arquivos armazenados.

Se você estiver executando um contêiner Docker, recomendamos que um verificação de segurança completa é feita. Revise as permissões das pastas e sistemas de arquivos para ver se mais alguém além de você tem acesso aos dados armazenados.

Pesquisado e criado por:
Krum Popov
Empreendedor web apaixonado, vem elaborando projetos web desde 2007. No 2020, ele fundou o HTH.Guide — uma plataforma visionária dedicada a agilizar a busca pela solução de hospedagem web perfeita. Consulte Mais informação...
Revisado tecnicamente por:
Metódi Ivanov
Especialista experiente em desenvolvimento web com 8+ anos de experiência, incluindo conhecimento especializado em ambientes de hospedagem. Sua experiência garante que o conteúdo atenda aos mais altos padrões de precisão e se alinhe perfeitamente com as tecnologias de hospedagem. Consulte Mais informação...

Deixe um comentário

seu endereço de e-mail não será publicado. Os campos obrigatórios estão marcados *

Este site é protegido pelo reCAPTCHA e pelo Google Política de Privacidade e Termos de serviço Aplique.

Este site usa cookies para melhorar a experiência do usuário. Ao usar nosso site, você concorda com todos os cookies de acordo com nosso Política de Privacidade.
Eu concordo
Em HTH.Guide, oferecemos análises transparentes de hospedagem na web, garantindo a independência de influências externas. Nossas avaliações são imparciais, pois aplicamos padrões rigorosos e consistentes a todas as avaliações.
Embora possamos ganhar comissões de afiliados de algumas das empresas apresentadas, essas comissões não comprometem a integridade de nossas avaliações nem influenciam nossas classificações.
Os ganhos do afiliado contribuem para cobrir a aquisição de contas, despesas de teste, manutenção, e desenvolvimento do nosso site e sistemas internos.
Confie no HTH.Guide para obter insights de hospedagem confiáveis e sinceridade.