Malware Docker Terbaru, Mencuri CPU untuk Crypto & Mendorong Lalu Lintas Situs Web Palsu

The Hacker News

Cyberthreat.id - Layanan Docker yang rentan menjadi sasaran kampanye baru di mana pelaku ancaman menyebarkan penambang cryptocurrency XMRig serta perangkat lunak 9Hits Viewer sebagai bagian dari strategi monetisasi multi-cabang.

“Ini adalah kasus malware pertama yang terdokumentasi yang menyebarkan aplikasi 9Hits sebagai muatannya,” kata perusahaan keamanan cloud Cado kepada The Hacker News.

Ia menambahkan bahwa perkembangan ini merupakan tanda bahwa musuh selalu berupaya mendiversifikasi strategi mereka untuk menghasilkan uang dari host yang disusupi.

9Hits mengiklankan dirinya sebagai "solusi lalu lintas web yang unik" dan "pertukaran lalu lintas otomatis" yang memungkinkan anggota layanan mengarahkan lalu lintas ke situs mereka dengan imbalan pembelian kredit.

Hal ini dicapai melalui perangkat lunak yang disebut 9Hits Viewer, yang menjalankan browser Chrome tanpa kepala untuk mengunjungi situs web yang diminta oleh anggota lain, dan mereka memperoleh kredit untuk membayar menghasilkan lalu lintas ke situs mereka.

 

Metode pasti yang digunakan untuk menyebarkan malware ke host Docker yang rentan saat ini masih belum jelas, namun diduga melibatkan penggunaan mesin pencari seperti Shodan untuk memindai calon target.

Server kemudian dibobol untuk menyebarkan dua kontainer berbahaya melalui Docker API dan mengambil image siap pakai dari perpustakaan Docker Hub untuk perangkat lunak 9Hits dan XMRig.

“Ini adalah vektor serangan umum untuk kampanye yang menargetkan Docker, di mana alih-alih mengambil gambar khusus untuk tujuan mereka, mereka mengambil gambar umum dari Dockerhub (yang hampir selalu dapat diakses) dan memanfaatkannya untuk kebutuhan mereka,” kata peneliti keamanan Nate Bill.

Wadah 9Hits kemudian digunakan untuk mengeksekusi kode guna menghasilkan kredit bagi penyerang dengan mengautentikasi dengan 9Hits menggunakan token sesi mereka dan mengekstraksi daftar situs yang akan dikunjungi.

Pelaku ancaman juga telah mengonfigurasi skema untuk mengizinkan mengunjungi situs dewasa atau situs yang menampilkan popup, namun mencegahnya mengunjungi situs terkait cryptocurrency.

Kontainer lainnya digunakan untuk menjalankan penambang XMRig yang terhubung ke kumpulan penambangan pribadi, sehingga tidak mungkin untuk menentukan skala dan profitabilitas kampanye.

“Dampak utama dari kampanye ini pada host yang disusupi adalah kehabisan sumber daya, karena penambang XMRig akan menggunakan semua sumber daya CPU yang tersedia sementara 9hits akan menggunakan sejumlah besar bandwidth, memori, dan sedikit CPU yang tersisa,” kata Bill.

“Akibat dari hal ini adalah beban kerja yang sah pada server yang terinfeksi tidak akan dapat bekerja seperti yang diharapkan. Selain itu, kampanye dapat diperbarui untuk meninggalkan shell jarak jauh pada sistem, yang berpotensi menyebabkan pelanggaran yang lebih serius.”[]