Image by Henrik L., from Unsplash
Malware Zumbi Autoreplicante tem como Alvo o Docker
Tempo de leitura: 2 minuto
Última atualização: May 28, 2025
-
![Kiara Fabbri]()
-
![Equipe de localização e tradução]()
Traduzido por Equipe de localização e tradução Serviços de localização e tradução
Contêineres Docker desprotegidos são sequestrados por malware que se espalha de forma autônoma, criando uma rede zumbi que minera a criptomoeda focada em privacidade, Dero.
Está com pressa? Aqui estão os fatos rápidos:
- O malware se espalha autonomamente sem um servidor de comando e controle, complicando a defesa.
- Dois implantes Golang: ferramenta nginx falsa e minerador de nuvem Dero oculto.
- O malware sequestra contêineres existentes e cria novos contêineres maliciosos automaticamente.
Uma nova campanha de cryptojacking está transformando contêineres Docker não seguros em uma rede zumbi de rápida propagação que minera a criptomoeda focada em privacidade Dero. O malware se espalha por conta própria, sem um servidor de comando e controle, tornando-o mais difícil de ser parado.
Pesquisadores da Kaspersky descobriram a infecção durante uma avaliação de segurança rotineira. “Detectamos uma série de contêineres em execução com atividades maliciosas”, disseram.
O ataque começa quando as APIs do Docker expostas são encontradas online. Uma vez que uma é violada, o malware cria novos contêineres maliciosos e sequestra os já existentes – transformando-os em “zumbis” que mineram Dero e infectam outros.
O ataque utiliza dois implantes de malware baseados em Golang, ambos escondidos com empacotamento UPX: um é chamado de nginx (não deve ser confundido com o servidor web legítimo), e o outro é o minerador de nuvem Dero. A Kaspersky os identificou como Trojan.Linux.Agent.gen e RiskTool.Linux.Miner.gen.
O malware nginx finge ser uma ferramenta web legítima e mantém o minerador funcionando enquanto escaneia constantemente a internet em busca de novos alvos. Ele procura por APIs Docker abertas na porta 2375 e usa ferramentas como masscan para detectá-las. Uma vez que encontra um sistema vulnerável, ele implanta um contêiner falso do Ubuntu e instala o malware.
Também tenta assumir o controle de contêineres existentes verificando um arquivo especial, version.dat. Se o arquivo estiver ausente, ele instala o malware e começa a minerar.
O minerador na nuvem esconde seus endereços de carteira e servidor usando strings criptografadas. Uma vez descriptografados, os pesquisadores os rastrearam até ataques anteriores em clusters Kubernetes.
“Este implante é projetado para minimizar a interação com o operador”, diz o relatório, alertando que campanhas semelhantes ainda podem estar ativas.
Especialistas em segurança alertam que, enquanto as APIs do Docker estiverem expostas online sem proteção, tais campanhas de criptojacking continuarão. Os usuários devem proteger seus ambientes Docker desativando APIs abertas e reforçando os controles de acesso à rede.
História anterior
Artigos mais recentes 
