Cibercriminosos estão mirando servidores mal configurados e vulneráveis que executam serviços Apache Hadoop YARN, Docker, Atlassian Confluence e Redis como parte de uma campanha de malware emergente projetada para entregar um minerador de criptomoedas e criar um shell reverso para acesso remoto persistente.

Os atacantes aproveitam essas ferramentas para emitir código de exploração, tirando vantagem de configurações incorretas comuns e explorando uma vulnerabilidade N-day, para conduzir ataques de Execução Remota de Código (RCE) e infectar novos hosts.

Tudo começa com a implantação de quatro novos payloads Golang capazes de automatizar a identificação e exploração de hosts Confluence, Docker, Hadoop YARN e Redis suscetíveis.

O acesso inicial abre caminho para a implantação de ferramentas adicionais para instalar rootkits como libprocesshider e diamorphine para ocultar processos maliciosos, soltar a utilidade de shell reverso de código aberto Platypus e, finalmente, lançar o minerador XMRig.

Os ataques, que visam tanto hosts Windows quanto Linux, têm como objetivo implantar um minerador de criptomoedas, mas não antes de tomar uma série de medidas que priorizam a furtividade e a evasão.