Serviços Docker vulneráveis estão sendo alvo de uma campanha inovadora na qual os atores de ameaças estão implantando o minerador de criptomoedas XMRig, bem como o software 9Hits Viewer, como parte de uma estratégia de monetização multifacetada.

O 9Hits se anuncia como uma “solução única de tráfego na web” e uma “troca automática de tráfego” que permite aos membros do serviço direcionar tráfego para seus sites em troca da compra de créditos. Isso é realizado por meio de um software chamado 9Hits Viewer, que executa uma instância do navegador Chrome sem cabeça para visitar sites solicitados por outros membros, pelos quais eles ganham créditos para pagar pelo tráfego gerado para seus sites.

O método exato usado para espalhar o malware para hosts Docker vulneráveis não está claro, mas suspeita-se que envolva o uso de mecanismos de busca como o Shodan para escanear alvos em potencial. Os servidores são então violados para implantar dois contêineres maliciosos via API do Docker e buscar imagens prontas da biblioteca Docker Hub para os softwares 9Hits e XMRig.

O principal impacto desta campanha em hosts comprometidos é o esgotamento de recursos, pois o minerador XMRig usará todos os recursos de CPU disponíveis que puder, enquanto o 9hits usará uma grande quantidade de largura de banda, memória e o pouco de CPU que restar.