Doki Trojan

O sistema operacional Linux é considerado o mais seguro que existe. Como muitos usuários comuns não utilizam o sistema operacional Linux, os criminosos cibernéticos não criavam muitas ameaças visando esse sistema operacional em particular. No entanto, nos últimos anos, as instâncias de malware direcionadas ao sistema operacional Linux aumentaram significativamente. Além disso, alguns projetos avançados têm como alvo o Linux e o Windows, o que aumenta consideravelmente o alcance das ameaças.

Os analistas de malware identificaram recentemente uma ameaça totalmente nova, projetada para perseguir sistemas que executam apenas o sistema operacional Linux. O nome da ameaça é Doki Trojan. Parece que o Trojan Doki está sendo distribuído em combinação com um minerador de criptomoedas. O Trojan Doki foi projetado para garantir que o mencionado minerador de criptomoeda funcione conforme o esperado. Depois que o Trojan Doki for implantado no host, ele localizará quaisquer outros mineradores de criptomoeda que possam estar presentes no sistema e os encerrará. Dessa forma, o Trojan Doki garante que todo o poder computacional do host esteja indo para o minerador de criptomoeda plantado ao lado da ameaça. O Trojan Doki também é capaz de detectar se o minerador de criptomoedas pelo qual ele é responsável foi encerrado e iniciá-lo novamente imediatamente.

Até agora, a gangue por trás do Trojan Doki executou ataques contra um conjunto muito específico de alvos - o comum entre todos os servidores afetados pelo ataque do Doki é que eles estavam executando o Docker, uma plataforma popular de criação de software. Houveram ocasiões anteriores em que os cibercriminosos tinham como alvo o serviço Docker - no início deste ano, relatamos o malware Kinsing que também tinha como alvo exclusivo os servidores Docker. É importante acrescentar que o Docker não é vulnerável e os invasores não contam com explorações para obter acesso não autorizado. Em vez disso, os criminosos por trás do Trojan Doki examinam a Web em busca de instalações Docker mal protegidas e acessíveis.

Existem outras ameaças semelhantes ao Trojan Doki, cujo objetivo é garantir que os mineradores de criptomoedas estejam funcionando conforme o esperado. No entanto, o Trojan Doki tem uma característica interessante - essa ameaça se comunica com o servidor de C&C (Comando e Controle) dos atacantes por meio da API Dogecoin. Ele usa um DGA (Algoritmo de Geração de Domínio) para gerar o endereço do servidor C&C. O minerador de criptomoedas incluiu ao lado do Trojan Doki mineradores para a criptomoeda Doge. Todos os fundos gerados são transferidos para a carteira de criptomoeda dos atacantes. O Trojan Doki verifica novas transações periodicamente e, se alguma for detectada, essa ameaça codificará o ID da transação usando o algoritmo SHA256. Os primeiros doze caracteres são usados para registrar um subdomínio no Dnds.net.

Todos os administradores de servidores Docker precisam ter muito cuidado com o Trojan Doki. Verifique se o servidor está protegido e seguro - use fortes credenciais de login e utilitários anti-malware.