Free

Neue Docker-Malware stiehlt Server-Ressourcen für Krypto-Mining und mehr

Verwundbare Docker-Dienste sind das Ziel einer neuen Kampagne, bei der die Angreifer den XMRig-Kryptowährungs-Miner sowie die 9Hits Viewer-Software einsetzen, um eine vielschichtige Monetarisierungsstrategie umzusetzen.

Bedrohungen
Lesezeit 1 Min.

Nach Berichten des Cloud-Security-Unternehmens Cado handelt es sich bei der neu entdeckten Masche um den ersten dokumentierten Fall, bei dem Malware die 9Hits-Anwendung als Nutzlast einsetzt. Dies zeigt, dass Angreifer ständig nach Möglichkeiten suchen, ihre Strategien zu diversifizieren, um Profit aus kompromittierten Hosts zu schlagen.

9Hits bewirbt sich selbst als einzigartige Lösung für Web-Traffic und einen automatischen Traffic-Austausch. Die App ermöglicht Mitgliedern, durch den Erwerb von „Credits“ Traffic auf ihre eigenen Websites zu lenken.

Das funktioniert über die 9Hits Viewer Software, die eine unsichtbare Chrome-Browser-Instanz nutzt, um Websites zu besuchen, die von anderen Mitgliedern angefragt wurden. Dafür erhalten sie dann „Credits“ und können selbst Traffic für ihre Seiten generieren.

Wie genau die schädliche Software auf gefährdete Docker-Systeme gelangt, ist noch nicht genau bekannt. Es wird jedoch vermutet, dass dabei Suchmaschinen wie Shodan genutzt werden, um potenzielle Ziele zu finden.

Die Server werden dann kompromittiert, um über die Docker-API zwei bösartige Container bereitzustellen und Standard-Images aus der Docker Hub-Bibliothek für die 9Hits- und XMRig-Software abzurufen. Sicherheitsforscher von Cado erklären: „Das ist ein gängiger Weg für Angriffe auf Docker. Anstatt ein spezielles Image für ihre Zwecke zu verwenden, nehmen sie ein allgemeines Image von Dockerhub (fast immer erreichbar) und passen es an ihre Bedürfnisse an.“

Der 9Hits-Container wird dann verwendet, um Code auszuführen und Credits für den Angreifer zu generieren, indem er sich mit 9Hits über deren Sitzungstoken authentifiziert und die Liste der zu besuchenden Websites extrahiert.

Die Angreifer haben ihre Masche so aufgebaut, dass der Besuch von Erwachsenen- oder Popup-Seiten erlaubt ist, jedoch der Besuch von kryptowährungsbezogenen Websites verhindert wird.

Der andere Container wird verwendet, um einen XMRig-Miner auszuführen, der sich mit einem privaten Mining-Pool verbindet. Dadurch ist es schwierig, das genaue Ausmaß und den Gewinn der Kampagne zu ermitteln.

Cado warnt: „Die Hauptausswirkung dieser Angriffskampagne auf übernommene Computer besteht derzeit darin, dass die Ressourcen knapp werden. Der XMRig-Miner beansprucht einen Großteil der Rechenleistung der CPU, während 9Hits viel Bandbreite, Speicher und die restliche CPU-Leistung abzieht. Das führt dazu, dass legitime Aufgaben auf den infizierten Servern nicht wie gewohnt funktionieren können.“ Das Unternehmen weiter: „Zusätzlich könnte die Kampagne möglicherweise so angepasst werden, dass sie eine Art Fernzugriff auf dem System hinterlässt, was zu einem ernsteren Sicherheitsproblem führen könnte.“

Diesen Beitrag teilen: