Uma nova e perigosa ameaça informática está a visar as interfaces de programação de aplicações (API) do Docker que se encontram expostas na internet. O objetivo final não é a mineração de criptomoedas, como em ataques anteriores, mas sim a criação de uma complexa botnet, uma rede de servidores infetados e controlados remotamente.
A descoberta, detalhada num relatório da Akamai, revela uma evolução significativa de uma campanha maliciosa reportada em junho pela Trend Micro. Enquanto a versão anterior se focava em ganhos rápidos, esta nova variante demonstra uma estratégia mais sofisticada e a longo prazo.
Como funciona o ataque
O ataque começa com a procura por APIs do Docker que estejam expostas publicamente na porta 2375. Uma vez encontrado um alvo vulnerável, os atacantes enviam um pedido para criar um contentor usando uma imagem de Alpine Linux modificada. Este contentor contém um comando dissimulado que dá início à segunda fase da infeção.
A partir daí, a máquina infetada liga-se à rede Tor, que garante o anonimato, para descarregar o resto do código malicioso. Para garantir que não perde o controlo, o malware cria uma porta de acesso permanente via SSH e, de forma astuta, bloqueia o acesso externo à porta 2375 que usou para entrar, impedindo que outros atacantes ou os administradores do sistema detetem a vulnerabilidade.
O objetivo final: uma botnet silenciosa
A verdadeira intenção deste malware não é o ganho imediato, mas sim a construção de uma rede de máquinas infetadas. Após a instalação, um binário escrito em Go começa a procurar ativamente por outras APIs do Docker expostas na internet, tentando replicar-se de forma autónoma e expandir a botnet. Este comportamento inclui a remoção de contentores de outros atacantes para garantir o controlo exclusivo do sistema comprometido.
Os investigadores da Akamai descobriram ainda que o código inclui funcionalidades inativas que, no futuro, poderão ser usadas para explorar routers através de Telnet ou até para sequestrar sessões do navegador Chrome. Esta capacidade latente sugere que a ameaça pode evoluir para roubo de credenciais, desvio de sessões ou ataques de negação de serviço distribuído (DDoS).
Em suma, esta nova variante representa uma evolução perigosa, transformando a exploração oportunista do Docker numa ameaça multifacetada com capacidades de movimento lateral e persistência. Os especialistas acreditam que esta é apenas a versão inicial de uma botnet que poderá tornar-se muito mais complexa e perigosa no futuro.
Aplicações TugaTech
Discord do TugaTech
RSS do TugaTech
Speedtest Tugatech
Host TugaTech