Recientemente, se ha descubierto una nueva campaña de malware en la que los actores de amenazas utilizan servicios de Docker vulnerables para desplegar el minero de criptomonedas XMRig y el software 9Hits Viewer como parte de una estrategia de monetización multipropósito. Según la firma de seguridad en la nube Cado, esta es la primera vez que se utiliza el software 9Hits como malware, lo cual demuestra que los adversarios buscan diversificar sus estrategias de obtención de ganancias de los hosts comprometidos.
El software 9Hits actúa como un «intercambio de tráfico automático» y permite a los usuarios dirigir el tráfico a sus sitios, ganando créditos mediante el uso del 9Hits Viewer. Aunque se desconoce el método utilizado para propagar el malware en los hosts vulnerables, se sospecha que los atacantes utilizan motores de búsqueda como Shodan para encontrar posibles objetivos.
En el vector de ataque común de Docker, los atacantes extraen imágenes genéricas de Docker Hub para sus propósitos. La campaña utiliza el contenedor 9Hits para ejecutar código y generar créditos para los atacantes, mientras que el otro contenedor se utiliza para ejecutar el minero XMRig, agotando los recursos del sistema comprometido.
El impacto principal de esta campaña es el agotamiento de los recursos del servidor, impidiendo su correcto funcionamiento y dejándolos vulnerables a futuros ataques. Por lo tanto, se debe tomar medidas preventivas para evitar este tipo de ataques en el futuro y proteger el sistema de los posibles peligros de la explotación de vulnerabilidades.