A medida que las corporaciones trasladan su trabajo a entornos en la nube, las amenazas de Linux son cada vez más comunes y los ciberdelincuentes han desarrollado nuevas máquinas y formas de lanzar ataques a la infraestructura de Linux.
Una estrategia que utilizan es buscar servidores Docker disponibles públicamente y luego abusar de los puertos API de Docker mal configurados para instalar sus propias cajas y ejecutar malware en la infraestructura de sus víctimas. La botnet Ngrk es una de las campañas de ataque en curso más largas que explota esta técnica y un nuevo informe de los monitores de Intezer Labs indica que solo lleva más de una hora que un nuevo servidor Docker mal configurado se inflame con esta campaña.
Recientemente, sin embargo, la manzana Compabig ha detectado una nueva carga útil de malware, que ha denominado Doki, que difiere de los antiguos criptomonedas desplegados regularmente en este tipo de ataque. Lo que distingue a Doki con la excepción de otro malware es que utiliza la API Dogecoin para averiguar la URL del comando y el servidor de su operador.
El malware se ha controlado para permanecer en las sombras y no se detectará durante más de seis meses, las muestras de Doki se deben tener al público en VirusTotal.
Una vez que los piratas informáticos abusan de la API de Docker para implementar nuevos servidores en la infraestructura en la nube de una empresa, los servidores, que ejecutan una edición de Alpine Linux, se inflaman con el malware de criptomonedas Doki.
Según los investigadores de Intezer, el objetivo de Doki es permitir a los piratas informáticos principalmente los servidores que han sido secuestrados para que continúen sus operaciones de criptominería. Sin embargo, el malware caliente difiere de otros troyanos de puerta trasera mediante el uso de la API Dogecoin para averiguar la URL del servidor C-C en el que tendrá que iniciar sesión para obtener nuevas instrucciones.
Doki uses a dynamic algorithm, known as a DGA or domain generation algorithm, to determine the C&C address using the Dogecoin API. The operators of the Ngrok botnet can also easily change the server where the malware receives its commands from by making a single transaction from within a Dogecoin wallet they control.
Si DynDNS recibe un informe de abuso relacionado con la URL actual de Doki C-C y se elimina el sitio, los ciberdelincuentes solo tienen que volver a comerciar, averiguar el cargo del subdomajor y crear una nueva cuenta de DynDNS y reclamar el subdomajor. Esta táctica inteligente hace que las corporaciones o las fuerzas del orden público de la estación de control desmantelen la infraestructura de back-end de Doki porque merecen tomar primero la cartera Dogecoin de Ngrok.
A través de ZDNet
Obtenga las mejores ofertas productivas de TechRadar India, reseñas, consejos de productos, concursos, noticias de generación que no debe perderse y más.
TechRadar es un componente de Future plc, una colección de medios extranjeros y una editorial virtual líder. Visite nuestro sitio web corporativo.