Graboid

A maioria dos worms de criptografia é propagada por torrents, campanhas de malvertising, downloads falsos e outros métodos populares. No entanto, alguns cibercriminosos optam por utilizar vetores de infecção mais criativos. É o caso do worm Graboid cryptojacking. Os autores do worm Graboid estão espalhando essa ameaça usando contêineres não seguros, neste caso, Docker.

A Maioria das Vítimas estão na China

Os criadores deste worm de criptografia não visam uma determinada classe de pessoas ou a um setor ou tipo de negócio específico. No entanto, a maioria das vítimas do worm Graboid está localizada na China. Foi determinado que existem mais de 10.000 vítimas até agora. O objetivo do worm Graboid cryptojacking é infectar um sistema e seqüestrar seus recursos para explorar a criptomoeda Monero.

Por padrão, o Docker não possui portas abertas para acesso remoto pela Internet. Portanto, pode ser que os usuários infectados pelo worm Graboid tenham configurado o aplicativo incorretamente e, assim, tenham se deixado abertos a compromissos.

Como o Ataque é Realizado

Depois que um sistema é comprometido, o worm faz o download de vários scripts do bash que possuem vários recursos para propósitos específicos e age para garantir que o comportamento do worm seja realmente aleatório. O primeiro arquivo, implantado pelo worm Graboid, consiste em uma lista contendo endereços IP vulneráveis e que podem ser comprometidos pela ameaça. Os operadores do worm Graboid cryptojacking recebem informações sobre o sistema da vítima, especificamente a CPU. Isso é feito usando um script 'live.sh'. Outro script chamado 'cleanxmr.sh' é responsável por escolher um dos endereços IP vulneráveis, listados no arquivo 'worm.sh'. Em seguida, o worm procura qualquer outro software de mineração de criptografia ou outros potenciais criptografadores (não vinculados ao worm Graboid), que podem estar presentes na máquina infectada. Se algum for detectado, o worm Graboid interromperá suas atividades para garantir que nenhum outro aplicativo esteja colhendo os recursos da CPU. Na etapa final, um script chamado 'xmr.sh' planta o módulo de mineração Monero no host.

Os analistas de malware não foram capazes de determinar por que os criadores desse worm de criptografia randomizaram os intervalos da atividade de mineração, pois não há profissionais aparentes nessa abordagem; pelo contrário, afeta negativamente a eficácia do mineiro.

No entanto, está claro por que os atacantes optaram por propagar o worm Graboid através de contêineres do Docker. Essa não é uma abordagem desconhecida, e os cibercriminosos tendem a optar por esse método porque o software anti-vírus costuma dar a recipientes como o Docker uma 'carta branca'. Esperamos que, no futuro, as soluções anti-malware sejam mais vigilantes ao lidar com contêineres.