Ameaça virtual utiliza sistemas Linux para mineração oculta de criptomoedas

Servidores de Docker API do Linux estão sendo alvos de um ataque em larga escala de ameaças criptomineradoras. Segundo um relatório da firma de segurança CrowdStrike, o golpe em questão está sendo distribuído com auxílio da botnet LemonDuck, antes focada em invasões relacionadas ao Microsoft Exchange.

• Falha crítica no Android permite que invasores acessem arquivos de usuários
• O que é exploit?

A Docker API é uma ferramenta do Linux utilizada principalmente para administração de ambientes no sistema — gerenciando aplicações nos contêineres do sistema operacionalopen source.

O relatório da firma de segurança aponta que a botnet atua, nesse ataque, obtendo acesso a Docker APIs que estejam expostas, sejam por vazamento de dados ou por detecções dos criminosos, e, após entrarem no sistema, executam um script que o Linux interpreta como um arquivo PNG.

Esse script, então, baixa um arquivo bash que é implementado sorrateiramente na máquina, e executa as seguintes funções:

• Finalizar processos do Linux que tenham nomes indicativos de outras atividades de criptomoedas;
• Deletar indicadores de possíveis compromissos do sistema;
• Desabilitar o serviço de monitoramento do Alibaba Cloud, uma das soluções de segurança mais populares do Linux, para que sua atividade não seja detectada.

Após todas as ações acima terem sido concluídas, o script realiza o download do utilitário de mineração de criptomoedas XMRig junto de um arquivo de configurações que esconde informações de conexão e das carteiras que os ativos obtidos na atividade estão sendo enviadas.

Ameaça virtual do Linux tenta se espalhar pela rede após infectar uma máquina

Além dos passos acima, após a máquina estar atuando como parte da operação de mineração, a botnet LemonDuck tenta utilizar a conexão para encontrar outros dispositivos e também infectá-los, refazendo todo o processo nessas novas vítimas.

Dado esse cenário, é importante que administradores de sistemas Linux, sejam eles de uso pessoal ou empresarial, precisam estar atentos as configurações da Docker API nas máquinas, para assegurar que os dispositivos estão protegidos contra essas ameaças — com o relatório da CrowdStrike recomendando que, para alcançar essa proteção, opções como consumo limitado de recursos computacionais em contêineres do Linux e politicas de autenticação de imagem devem ser implementadas na máquina.

Fonte: CrowdStrike