Malware Docker Terbaru, Mencuri CPU untuk Crypto & Mendorong Lalu Lintas Situs Web Palsu

Malware Docker Terbaru, Mencuri CPU untuk Crypto & Mendorong Lalu Lintas Situs Web Palsu

Posted by : Admin , Jan 22, 2024
Layanan Docker yang rentan telah menjadi sasaran kampanye baru di mana pelaku ancaman menggunakan perangkat lunak penambang cryptocurrency XMRig dan 9Hits Viewer sebagai bagian dari strategi monetisasi multifaset. "Ini adalah kasus malware pertama yang terdokumentasikan menggunakan aplikasi 9Hits sebagai muatannya," kata perusahaan keamanan cloud Cado kepada The Hacker News. Ia menambahkan bahwa perkembangan ini merupakan tanda bahwa musuh terus berupaya mendiversifikasi strategi mereka untuk mendapatkan keuntungan dari tuan rumah yang telah dikompromikan. 9Hits mengiklankan dirinya sebagai "solusi lalu lintas web unik" dan "pertukaran lalu lintas otomatis" yang memungkinkan anggota layanan mengarahkan lalu lintas ke situs web mereka alih-alih membeli kredit.
Hal ini dicapai melalui perangkat lunak yang disebut 9Hits Viewer, yang menjalankan browser Chrome tanpa kepala untuk mengunjungi situs web yang diminta oleh anggota lain, dan anggota memperoleh kredit untuk membayar menghasilkan lalu lintas ke situs web mereka sendiri. Metode pasti yang digunakan untuk menyebarkan malware ke host Docker yang rentan saat ini tidak diketahui, namun diyakini bahwa mesin pencari seperti Shodan digunakan untuk mencari target potensial.
Server kemudian disusupi dan menyebarkan dua kontainer berbahaya melalui Docker API untuk mendapatkan gambar siap pakai untuk perangkat lunak 9Hits dan XMRig dari perpustakaan Docker Hub. "Ini adalah vektor serangan umum untuk kampanye yang menargetkan Docker. Daripada mengakses gambar tertentu untuk tujuannya, mereka menggunakan gambar umum dari Dockerhub (yang dapat diakses dalam banyak kasus). Kemudian menggunakan wadah 9Hits untuk mengeksekusi kode, mengautentikasi ke 9Hits menggunakan token sesi, dan menghasilkan kredit untuk penyerang dengan mengekstraksi daftar situs web yang akan dikunjungi.
Pelaku ancaman juga telah menyiapkan skema yang mengizinkan akses ke situs web dewasa dan situs web yang menampilkan pop-up, namun melarang akses ke situs web terkait mata uang kripto. Kontainer terpisah digunakan untuk menjalankan penambang XMRig yang terhubung ke kumpulan penambangan pribadi, sehingga tidak mungkin untuk menentukan ukuran dan profitabilitas kampanye. "Dampak utama dari kampanye ini pada host yang disusupi adalah kehabisan sumber daya. Penambang XMRig  menggunakan semua sumber daya CPU yang tersedia, dan 9 pukulan menghasilkan sejumlah besar bandwidth, memori, dan sedikit sisa CPU, ”kata Bill. Akibatnya, beban kerja yang sah tidak lagi berfungsi seperti yang diharapkan pada server yang terinfeksi.
Selain itu, kampanye dapat memperbarui dan meninggalkan shell jarak jauh pada sistem, yang berpotensi menyebabkan kompromi yang lebih serius.

Sumber : https://cyberthreat.id/read/16395/Malware-Docker-Terbaru-Mencuri-CPU-untuk-Crypto-Mendorong-Lalu-Lintas-Situs-Web-Palsu