Threat Database Worms Cetus Malware

Cetus Malware

Por GoldSparrow em Worms

O Cetus Malware é um worm Docker crypto-jacking descoberto pelos pesquisadores da Palo Alto Networks. Esta nova ameaça de malware é especializada em atacar daemons do Docker para implantar uma carga de mineração Monero. O nome Cetus dado ao malware foi retirado do monstro marinho parecido com uma baleia da Grécia Antiga.

No início do ataque, o Cetus Malware personifica um binário legítimo chamado Portainer, uma ferramenta UI (User Interface) usada para gerenciar vários ambientes Docker. Após a infiltração bem-sucedida, a ameaça de malware se copia no dispositivo alvo e implanta sua carga útil - uma carga útil criptominer XMRig que usa a CPU da vítima para extrair a criptomoeda Monero. A carga útil também é disfarçada como docker-cache, um binário legítimo, mas não real. Para iniciar o minerador, o Cetus Malware executa a função 'miner_start', que abre o '/var/log/stmp.log para rastrear as ações do malware e, em seguida, inicia o minerador criptográfico XMRig.

A única outra função do Malware Cetus é chamada de 'scan_start' e é responsável pela propagação do malware. Ele usa o Masscan para verificar uma sub-rede aleatória de 16 bits em busca de daemons Docker na porta 2375. O Cetus Malware então emprega uma ferramenta Docker Command Line Interface (CLI) para enviar solicitações detectadas da API REST do daemon para espalhar a infecção.

Cada contêiner infectado recebe um nome diferente pelo Cetus Malware. Para fazer isso, a ameaça de malware usa duas tabelas com oito nomes cada: sinistro, grosseiro, zeloso, verdejante, risível, límpido, fecundo e habilidoso na primeira tabela e gormmet, obelus, agelast, peristerônico, oxter, quire, hirquiticke , e amatorculista na outra. O malware pega um nome de cada tabela e combina para criar um nome exclusivo para o contêiner. O mesmo nome também é usado como uma identificação para a carga útil do minerador na piscina de mineração e como uma maneira do invasor monitorar as operações de cada minerador ativo.

Entre os comandos que o Cetus Malware executa, ele usa docker -H ps -a para verificar se o daemon visado está vulnerável e ainda não foi infectado. A ameaça de malware atinge persistência adicionando-se a 'root / .bash_aliases', o que garante que o Cetus seja executado sempre que o contêiner for reiniciado.

Deve-se observar que o mesmo endereço Monero usado pelo Cetus também está em uso por outro worm crypt-jacking que tem como alvo Amazon Web Services (AWS) e daemons Docker, chamado Graboid.

Tendendo

Mais visto

Carregando...