Pesquisadores de cibersegurança descobriram uma nova campanha de malware que ataca endpoints de API Docker expostos ao público, visando implantar mineradores de criptomoedas e outros malwares. Entre as ferramentas utilizadas está um software de acesso remoto capaz de baixar e executar programas maliciosos adicionais, além de uma utilidade para propagar o malware via SSH.

A análise da campanha revelou semelhanças táticas com uma atividade anterior chamada Spinning YARN, que atacava serviços mal configurados como Apache Hadoop YARN, Docker, Atlassian Confluence e Redis para fins de cryptojacking. O ataque começa com os invasores focando em servidores Docker com portas expostas (porta 2375), iniciando uma série de etapas que incluem reconhecimento, elevação de privilégios e exploração.

Os payloads são recuperados de uma infraestrutura controlada pelos adversários, executando um script de shell chamado “vurl”. O objetivo principal é configurar o host para acesso remoto e buscar ferramentas adicionais, incluindo “m.tar” e “top”, sendo este último um minerador XMRig. “Na campanha original Spinning YARN, grande parte da funcionalidade de ‘chkstart’ era gerenciada por scripts shell”. O ator da ameaça por trás desta campanha continua a iterar nos payloads implantados ao portar funcionalidades para Go, o que pode indicar uma tentativa de dificultar o processo de análise, ou apontar para experimentações com builds multi-arquitetura.