Il malware Zombie autoreplicante prende di mira Docker

Image by Henrik L., from Unsplash

Il malware Zombie autoreplicante prende di mira Docker

Tempo di lettura: 2 Min.

Ultimo aggiornamento: May 28, 2025

I contenitori Docker non protetti vengono dirottati da malware che si diffonde autonomamente, creando una rete zombie che estrae la criptovaluta focalizzata sulla privacy Dero.

Hai fretta? Ecco i fatti essenziali:

  • Il malware si diffonde autonomamente senza un server di comando e controllo, complicando la difesa.
  • Due impianti Golang: falso strumento nginx e miner di cloud Dero nascosto.
  • Il malware dirotta i contenitori esistenti e crea automaticamente nuovi contenitori maligni.

Una nuova campagna di cryptojacking sta trasformando i contenitori Docker non protetti in una rete zombi in rapida diffusione che estrae la criptovaluta focalizzata sulla privacy Dero. Il malware si diffonde autonomamente, senza un server di comando e controllo, rendendolo più difficile da fermare.

I ricercatori di Kaspersky hanno scoperto l’infezione durante una routine di valutazione della sicurezza. “Abbiamo rilevato un numero di contenitori in esecuzione con attività malevole,” hanno detto.

L’attacco inizia quando le API Docker esposte vengono trovate online. Una volta che una di queste viene violata, il malware crea nuovi contenitori malevoli e dirotta quelli esistenti – trasformandoli in “zombie” che estraggono Dero e infettano altri.

L’attacco utilizza due impianti di malware basati su Golang, entrambi nascosti con l’imballaggio UPX: uno si chiama nginx (da non confondere con il legittimo server web) e l’altro è il miner Dero cloud. Kaspersky li ha identificati come Trojan.Linux.Agent.gen e RiskTool.Linux.Miner.gen.

Il malware nginx finge di essere uno strumento web legittimo e mantiene il miner in esecuzione mentre continua a scandagliare internet alla ricerca di nuovi bersagli. Cerca API Docker aperte sulla porta 2375 e utilizza strumenti come masscan per rilevarli. Una volta trovato un sistema vulnerabile, distribuisce un falso contenitore Ubuntu e installa il malware.

Cerca anche di prendere il controllo dei contenitori esistenti verificando la presenza di un file speciale, version.dat. Se il file è mancante, installa il malware e inizia l’estrazione.

Il minatore cloud nasconde i suoi indirizzi di portafoglio e server utilizzando stringhe cifrate. Una volta decifrate, i ricercatori le hanno ricollegate a precedenti attacchi sui cluster Kubernetes.

“Questo impianto è progettato per minimizzare l’interazione con l’operatore”, afferma il rapporto, avvertendo che campagne simili potrebbero essere ancora attive.

Gli esperti di sicurezza avvertono che fintanto che le API di Docker sono esposte online senza protezione, tali campagne di cryptojacking continueranno. Gli utenti dovrebbero proteggere i loro ambienti Docker disabilitando le API aperte e rafforzando i controlli di accesso alla rete.

Hai apprezzato questo articolo?
Valutalo!
L'ho odiato Non mi è piaciuto Non male Molto bene! L'ho amato!

Siamo felici che ti sia piaciuto il nostro lavoro!

In qualità di stimato lettore, ti dispiacerebbe lasciare una recensione su Trustpilot? Richiede poco tempo e significa tantissimo per noi. Grazie mille!

Valutaci su Trustpilot
5.00 Votato da 1 utenti
Titolo
Commento
Grazie per la tua opinione!