Graboid: primer malware para los hosts Docker

Investigadores de Unit42 de PaloAlto han encontrado una nueva variedad de malware denominada Graboid que se ha extendido a más de 2.000 hosts Docker mediante el uso de contenedores en Docker Engine (Community Edition).

Graboid está diseñado para funcionar de forma aleatoria y, según los investigadores, no tiene beneficios obvios. El malware lleva a cabo la propagación y criptojacking de Monero dentro de los contenedores, seleccionando tres objetivos en cada iteración.

Graboid mina Monero durante una media de poco más de cuatro minutos antes de elegir nuevos hosts vulnerables para apuntar. El gusano funciona ganando un punto de apoyo inicial a través de demonios Docker no seguros, donde se instaló por primera vez una imagen de Docker para ejecutarse en el host comprometido.

Los investigadores advirtieron que la aparición de Graboid podría convertirse en una amenaza mayor y aconsejaron a las organizaciones que salvaguarden sus hosts Docker. Si bien este gusano de criptojacking no involucra tácticas, técnicas o procedimientos sofisticados, el gusano puede extraer periódicamente nuevos scripts de los C2, por lo que puede reutilizarse fácilmente para comprometer completamente a otros hosts y no se debería ignorarse el daño potencial de este tipo de malware.

Fuente: Unit42 PaloAlto