Os golpes de cryptojacking (quando o computador é invadido por um malware que minera criptomoedas) ainda são bem comuns e às vezes são utilizados em ataques de larga escala, ou até mesmo ataques específicos de alto perfil. Recentemente um novo malware foi identificado em servidores Linux.
De acordo com uma pesquisa divulgada pela Intezer, um malware estava explorando uma API para instalar mineradoras de criptomoedas em servidores Docker em sistemas de nuvem como a AWS (Amazon), Azure e outras.
Segundo a Intezer, o malware, chamado de Doki, utilizava um sistema relativamente sofisticado para conseguir invadir os sistemas e permanecer por um bom tempo sem ser identificado.
O ataque utilizava a API da dogechain.info, o explorador de blocos da cadeia DOGE mais utilizado em todo o mundo, para criar domínios C2.
O Doki é capaz de encontrar esses domínios automaticamente, utilizando um algoritmo diferenciado de DGA baseado no Dogecoin. Com isso, a ameaça estava focando em ambientes de servidores na nuvem, procurando por portas API de Dockers abertas e explorar essa abertura para instalar seus próprios contêineres para executar malware na infraestrutura da vítima.
A equipe de pesquisa estima que o Doki estava ativo por cerca de 6 meses antes de ser detectado pela primeira vez. De acordo com as informações, nem mesmo os melhores antivírus foram capazes de detectar o malware.
“O Doki foi capaz de se manter indetectável por esse período de meio ano, mesmo tendo sido registrado no VirusTotal em janeiro de 2020 e escaneado diversas vezes desde então.”
O Doki faz parte de uma campanha de ataque ainda maior chamada de Ngrok Botnet, considerada altamente efetiva e já está ativa por mais de 2 anos.
Por fim, a Intezer pediu para que as companhias identificadas e os indivíduos que possuam servidores conteinerizados nesses servidores em nuvem corrijam o problema imediatamente e alterem a configuração para evitar a exposição ao vírus.
O artigo também ressaltou que é necessário checar por portas expostas, verificar containers desconhecidos ou estrangeiros entre os existentes e monitorar uso excessivo dos recursos computacionais.
Cryptojacking continua sendo uma ameaça
Enquanto a maioria dos malwares de cryptojacking não oferecem riscos diretos para carteiras de criptomoedas, eles podem prejudicar consideravelmente o funcionamento de um computador, aumentar o gasto de energia e diminuir a vida útil de diferentes equipamentos.
Com isso em mente, é fundamental ficar sempre de olho na possibilidade de se infectar com esse tipo de software malicioso. As regras para se proteger são as de sempre: Nunca baixe arquivos desconhecidos e de sites suspeitos.
Também é importante ficar de olho no aumento de uso de recursos computacionais e queda de desempenho da máquina.