O grupo WatchDog está realizando uma nova campanha de cryptojacking com técnicas avançadas para intrusão, propagação semelhante a worms e evasão de software de segurança.

Os cibercriminosos tem como alvo endpoints expostos da API do Docker Engine e servidores Redis e pode rapidamente mudar de uma máquina comprometida para toda a rede.

O objetivo dos agentes de ameaças é gerar lucro minerando criptomoedas usando os recursos computacionais disponíveis de servidores mal protegidos.

O WatchDog inicia os ataques comprometendo os endpoints da API do Docker Engine mal configurados através de uma porta de entrada, dando acesso daemon nas configurações padrão.

A partir daí, o grupo pode listar ou modificar contêineres e executar comandos shell arbitrários neles.

O primeiro shell script que os hackers executam é o “cronb.sh”, que verifica o status de infecção do host, lista os processos e busca a carga útil do segundo estágio, “ar.sh”. Este segundo script usa o seqüestro de comando ps para executar um script de shell de ocultação de processo.