Duas campanhas de ciberataques voltadas à mineração de criptomoedas foram reveladas pela empresa de segurança Wiz, expondo ameaças multiplataforma que exploram vulnerabilidades em ambientes de nuvem. Os ataques foram atribuídos aos grupos Soco404 e Koske, que miram sistemas Linux e Windows para instalar mineradores de moedas digitais.
O Soco404 usa atalhos disfarçados como páginas 404 falsas hospedadas no Google Sites para implantar malwares adaptados a cada sistema operacional. Alvos incluem servidores Apache Tomcat com credenciais fracas, PostgreSQL expostos publicamente e sistemas vulneráveis do Apache Struts e Confluence. Os atacantes se aproveitam de ferramentas comuns como wget, curl, certutil e PowerShell para explorar os sistemas. Após invadir, executam scripts diretamente na memória, interrompem serviços concorrentes e manipulam logs para dificultar a detecção.
A carga útil final se conecta ao domínio “fastsoco[.]top”, também baseado no Google Sites. Já a ameaça Koske atinge principalmente sistemas Linux por meio de servidores mal configurados, como o JupyterLab. Utiliza imagens JPEG aparentemente inofensivas com cargas maliciosas escondidas nos últimos bytes, técnica conhecida como abuso de arquivos poliglotas. Os malwares, executados diretamente na memória, incluem rootkits e scripts para instalar mineradores otimizados para CPU e GPU, capazes de minerar 18 criptomoedas, incluindo Monero, Zano e Ravencoin.
