Uma nova campanha de ataques cibernéticos está explorando APIs Docker mal configuradas para minerar criptomoedas de forma oculta, utilizando a rede Tor para mascarar as atividades dos invasores. Os criminosos obtêm acesso a ambientes de containers vulneráveis e executam scripts maliciosos para implantar mineradores. O ataque inicia com uma solicitação ao servidor Docker para listar os containers ativos. Se não houver containers, os atacantes criam um novo baseado na imagem “alpine”, montando o diretório raiz da máquina hospedeira dentro dele.
Essa prática expõe arquivos críticos e permite o chamado “escape de container”, dando aos invasores acesso irrestrito ao sistema. Em seguida, um script codificado em Base64 instala o Tor, redirecionando todo o tráfego, incluindo DNS, para a rede de anonimato, dificultando a detecção. A partir de um endereço .onion, os criminosos baixam outro script que altera configurações de SSH, permitindo acesso remoto com privilégios de root e inserindo chaves SSH controladas pelos atacantes.
Ferramentas como masscan, libpcap, zstd e torsocks também são instaladas para realizar varreduras de rede, comprimir dados e manter a comunicação com o servidor de comando e controle (C&C). Por fim, um binário é executado como dropper para o XMRig, um minerador de Monero (XMR), com todas as configurações de mineração, endereços de pools e carteiras. Empresas de tecnologia, serviços financeiros e do setor de saúde estão entre os principais alvos, evidenciando a tendência de exploração de ambientes em nuvem mal protegidos para fins de cryptojacking.
