Поделиться
Троян, нацеленный на среды Docker, использует ранее неизвестную методику генерации криптовалют
Мошенники распространяют сравнительно безобидный вредонос, который постоянно обновляет соединения с ресурсом Teneo.pro - с целью сомнительного во всех отношениях заработка.
Что-то новенькое
Выявлена новая вредоносная кампания, нацеленная на среды Docker. Ее целью очевидно является получение криптовалют, но в этот раз злоумышленники пользуются ранее неизвестной методикой.
Традиционно злоумышленники распространяют вредоносное ПО, которое скрытно устанавливает в скомпрометированные системы криптомайнеры.
В данном же случае используется совершенно другой прием. Вредоносная программа устанавливает соединение с сервисом Web3 под названием Teneo.
Это децентрализованная физическая инфраструктура (DePIN), позволяющая монетизировать общедоступную информацию из социальных сетей. В Teneo это называют заработком на «неиспользованной полосе пропускания в социальных медиа».
На практике это означает установку «узла сообщества» (Community Node), клиентской программы, которая через аккаунты пользователя в соцсетях собирает общедоступные данные. Из пояснений на сайте Teneo толком не ясно, что и как работает, утверждается лишь, что технологические гиганты зарабатывают миллиарды на данных из соцсетей, создаваемых конечными пользователями, в то время как сами пользователи ничего за это не получают. В награду за развертывание у себя узла Community Node и поддержание его активности Teneo обещает начислять очки, которые затем можно обменять на токены $TENEO - когда-нибудь в будущем.
Как отмечает издание The Hacker News, Community Node по сути представляет собой распределенный скрейпер, т.е. инструмент для сбора информации.
Что происходит с собранными таким образом пользовательскими данными, в Teneo раскрывать не спешат.
63 итерации
Что же касается вредоносного ПО, то, по сведениям экспертов компании Darktrace, атака начинается со скачивания из центрального реестра Docker Hub контейнера
kazutod/tene:ten. Его назначение - запустить встроенный скрипт на языке Python. Его отличает тщательная и множественная обфускация: экспертам потербовалось 63 итерации, чтобы распаковать всамделишный код.
Код всего лишь подключается к WebSocket и регулярно отправляет пакеты проверки активности (keep-alive pings) к сайту Teneo.pro. Сбора каких-либо данных не при этом не осуществляется.
Из описания на сайте Teneo следует, что пока узел сообщества активен, четыре раза в час производится проверка соединения. За каждый такой тактовый импульс начисляются 25 баллов (с потолочным значеним 2400 баллов в сутки). По-видимому, серверная сторона Teneo рассматривает все входящие пакеты проверки соединения именно как такие импульсы, так что подобная схема накрутки вполне может оказаться рабочей - хотя и ненадолго.
«Полагаю, пройдет не так много времени, прежде чем в Teneo поймут, что манипулировать их статистикой слишком легко и примут меры», - считает Михаил Зайцев, эксперт по информационной безопасности компании SEQ. «Озадачивает лишь то, что они не предусмотрели возможности накруток с самого начала проекта: система буквально напрашивается на недобросовестную эксплуатацию».
К настоящему моменту контейнер kazutod/tene:ten в реестре Docker Hub уже недоступен.
Эксперты Darktrace отмечают, что это уже не первый случай попыток «косвенной» добычи криптовалют с помощью легитимных, на первый взгляд, инструментов. Ранее с такой же целью применялась платформа 9hits, предназначенная фактически для покупки трафика к произвольным ресурсам. Вредоносная программа, распространявшая клиент 9hits, также была нацелена на Docker.
Короткая ссылка
