Campaña de malware ataca entornos Docker para minar criptomonedas

Los expertos en ciberseguridad de Darktrace y Cado Security han identificado una sofisticada campaña de malware dirigida a entornos Docker, que utiliza una técnica no documentada previamente para obtener beneficios mediante minería de criptomonedas. A diferencia de las campañas tradicionales de cryptojacking que implementan directamente herramientas como XMRig, esta nueva operación apuesta por métodos alternativos más difíciles de detectar.

El malware identificado no instala directamente un minero de criptomonedas, sino que aprovecha un novedoso servicio Web3 llamado Teneo, una red de infraestructura física descentralizada (DePIN) que permite a los usuarios monetizar datos públicos de redes sociales. Esta monetización se realiza a través de un Nodo Comunitario, el cual otorga Teneo Points como recompensa, los cuales pueden convertirse en $TENEO Tokens.

El nodo como herramienta de scraping distribuido

El nodo actúa como un sistema distribuido de raspado de redes sociales, recolectando información de plataformas como Facebook, X (antes Twitter), Reddit y TikTok. Sin embargo, el análisis de los honeypots de Darktrace muestra que en este caso el nodo no realiza scraping activo, sino que simplemente mantiene una conexión constante mediante WebSocket para acumular puntos en la red Teneo.

La campaña se inicia con una solicitud para desplegar una imagen de contenedor denominada "kazutod/tene:ten", alojada en Docker Hub, que fue subida hace dos meses y ha sido descargada al menos 325 veces. Esta imagen contiene un script Python altamente ofuscado, que requiere 63 iteraciones para desempaquetar el código real. Una vez activado, establece conexión con el dominio teneo[.]pro.

Citar"El script de malware solo envía pings de mantenimiento al WebSocket para ganar Teneo Points. Según la documentación de Teneo, la mayor parte de las recompensas se basa en la frecuencia de los 'latidos' enviados, lo que podría explicar su funcionalidad", informó Darktrace a The Hacker News.

Comparaciones con otras campañas de uso ilícito de recursos

Este tipo de actividad recuerda a otras amenazas que también explotan instancias Docker mal configuradas. Un ejemplo anterior fue el uso del software 9Hits Viewer, utilizado para generar tráfico artificial hacia sitios web con el fin de obtener créditos. Del mismo modo, este ataque también se asemeja al secuestro de proxy o esquemas de compartición de ancho de banda, en los que se descarga software diseñado para monetizar recursos no utilizados del sistema, como la conexión a Internet.

Citar"Aunque XMRig sigue siendo la herramienta más común para el cryptojacking, su alta tasa de detección ha obligado a los atacantes a adoptar nuevas tácticas como esta. Aún está por verse si este método basado en Teneo es más rentable a largo plazo", afirmó Darktrace.

Amenazas paralelas: la botnet RustoBot

En paralelo, los investigadores de Fortinet FortiGuard Labs han descubierto una nueva botnet llamada RustoBot, que se propaga explotando vulnerabilidades conocidas en dispositivos de red como TOTOLINK (CVE-2022-26210 y CVE-2022-26187) y DrayTek (CVE-2024-12987). La botnet se utiliza para lanzar ataques DDoS y tiene como blanco principal al sector tecnológico en países como Japón, Taiwán, Vietnam y México.

Citar"Los dispositivos IoT y routers de red suelen ser puntos finales con defensas limitadas, lo que los convierte en blancos ideales para los cibercriminales. El refuerzo de la autenticación y el monitoreo de endpoints puede reducir significativamente este riesgo", señaló Vincent Li, investigador de Fortinet.

Actualización de estado de la imagen maliciosa

Hasta el momento de esta publicación, la imagen del contenedor malicioso ya no está disponible para descarga en Docker Hub, aunque la cuenta que la alojaba continúa activa.

Fuente: No tienes permitido ver enlaces. Registrate o Entra a tu cuenta