Recentemente, i ricercatori di sicurezza informatica hanno scoperto una campagna malware che sfrutta gli ambienti Docker per minare criptovalute utilizzando una tecnica mai documentata prima. Questa attività, analizzata da Darktrace e Cado Security, rappresenta un cambio di paradigma rispetto alle tradizionali campagne di cryptojacking che installano direttamente miner come XMRig per sfruttare le risorse di calcolo altrui. In questo caso, il malware si collega a Teneo, un servizio Web3 emergente che consente agli utenti di monetizzare i dati pubblici dei social media attraverso un nodo comunitario. Gli utenti possono guadagnare Teneo Points, convertibili in token $TENEO, tramite questo sistema decentralizzato di infrastruttura fisica (DePIN).

Il nodo agisce essenzialmente come un scraper distribuito di social media, estraendo post da piattaforme come Facebook, X, Reddit e TikTok. L'attacco viene avviato mediante un'immagine contenitore denominata "kazutod/tene:ten" dal registro Docker Hub, caricata due mesi fa e scaricata 325 volte. Questa immagine è progettata per eseguire uno script Python pesantemente offuscato, richiedendo 63 iterazioni per svelare il codice effettivo, che stabilisce una connessione con teneo[.]pro.

Secondo Darktrace, lo script malware si limita a connettersi al WebSocket e inviare segnali di keep-alive per accumulare più punti da Teneo, senza effettuare alcun scraping effettivo. La maggior parte delle ricompense sono infatti legate al numero di "heartbeat" eseguiti, il che spiega l'efficacia di questa strategia.

Questa campagna ricorda un'altra attività malevola che infetta le istanze Docker mal configurate con il software 9Hits Viewer, utilizzato per generare traffico verso determinati siti in cambio di crediti. L'intrusione è simile a schemi di condivisione di banda come il proxyjacking, che prevede il download di software specifici per condividere risorse Internet inutilizzate a scopo di lucro.

In genere, gli attacchi di cryptojacking tradizionali si affidano a XMRig per minare criptovalute direttamente. Tuttavia, dato che XMRig è facilmente rilevabile, gli aggressori stanno orientandosi verso metodi alternativi per generare crypto. Resta da vedere se queste nuove strategie siano più redditizie.

Nel frattempo, Fortinet FortiGuard Labs ha rivelato un nuovo botnet chiamato RustoBot, che si diffonde sfruttando vulnerabilità nei dispositivi TOTOLINK e DrayTek, mirando principalmente al settore tecnologico in paesi come Giappone, Taiwan, Vietnam e Messico. I ricercatori sottolineano l'importanza di rafforzare il monitoraggio e l'autenticazione degli endpoint per ridurre il rischio di exploit e mitigare le campagne malware. È importante notare che l'immagine del contenitore non è più disponibile per il download su Docker Hub, sebbene l'account rimanga attivo.