Redazione RHC : 19 Gennaio 2024 16:19
Una nuova campagna dannosa che prende di mira i servizi Docker vulnerabili installa il minatore XMRig e l’applicazione 9hits su host compromessi. Di conseguenza, gli aggressori monetizzano i sistemi compromessi non solo attraverso il mining, ma anche generando traffico.
Gli esperti di Cado Security che hanno scoperto questi attacchi affermano che 9hits è una piattaforma di scambio di traffico. In tale piattaforma i partecipanti possono generare traffico per i rispettivi siti. Il traffico è generato dall’applicazione 9hits, utilizza una versione headless di Chrome per visitare i siti richiesti da altri partecipanti. In questo modo gli utenti guadagnano crediti che possono poi essere utilizzati per pagare il traffico verso i propri siti.
Gli aggressori installano l’applicazione 9hits su host Docker compromessi. Questo gli consente di generare crediti per se stessi sfruttando le risorse di questi sistemi per ottenere traffico all’interno del sistema 9hits.
Scarica Gratuitamente Byte The Silence, il fumetto sul Cyberbullismo di Red Hot Cyber
"Il cyberbullismo è una delle minacce più insidiose e silenziose che colpiscono i nostri ragazzi. Non si tratta di semplici "bravate online", ma di veri e propri atti di violenza digitale, capaci di lasciare ferite profonde e spesso irreversibili nell’animo delle vittime.
Non possiamo più permetterci di chiudere gli occhi". Così si apre la prefazione del fumetto di Massimiliano Brolli, fondatore di Red Hot Cyber, un’opera che affronta con sensibilità e realismo uno dei temi più urgenti della nostra epoca.
Distribuito gratuitamente, questo fumetto nasce con l'obiettivo di sensibilizzare e informare. È uno strumento pensato per scuole, insegnanti, genitori e vittime, ma anche per chi, per qualsiasi ragione, si è ritrovato nel ruolo del bullo, affinché possa comprendere, riflettere e cambiare.
Con la speranza che venga letto, condiviso e discusso, Red Hot Cyber è orgogliosa di offrire un contributo concreto per costruire una cultura digitale più consapevole, empatica e sicura. Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]
Supporta Red Hot Cyber attraverso:
- L'acquisto del fumetto sul Cybersecurity Awareness
- Ascoltando i nostri Podcast
- Seguendo RHC su WhatsApp
- Seguendo RHC su Telegram
- Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.“Questo è il primo caso documentato di malware che distribuisce l’applicazione 9hits come payload”, ha osservato Cado Security.
Sebbene non sia chiaro come gli aggressori trovino i sistemi da hackerare, gli esperti ritengono che probabilmente utilizzino servizi di scansione di rete. Utilizzando tali sistemi (come Shodan) scoprono server vulnerabili, li compromettono e poi distribuiscono container dannosi tramite l’API Docker.
In questo caso, i contenitori utilizzano immagini ottenute da Dockerhub per ridurre i sospetti. Lo script esaminato dagli esperti utilizza la CLI Docker per impostare DOCKER_HOST e le normali chiamate API per ottenere ed eseguire i container.
Di conseguenza, il contenitore 9hits esegue uno script (nh.sh) con un token di sessione. Tale token gli consente di autenticarsi e generare crediti per gli aggressori (visitando i siti da un determinato elenco). Allo stesso tempo, il sistema dei token di sessione è progettato per funzionare anche in ambienti non attendibili. In questo modo gli aggressori possono realizzare profitti senza il rischio di essere bannati.
Va osservato che gli hacker hanno impostato determinati parametri per l’applicazione 9hits. Ad esempio consentendo i popup o la visita di siti per adulti, ma vietando i siti relativi alla criptovaluta.
Nel frattempo, in un altro container, viene lanciato il miner XMRig, che mina la criptovaluta Monero per gli hacker utilizzando risorse cloud. Il miner si connette a un pool privato, quindi è impossibile monitorare la portata e il reddito degli hacker derivanti da questa campagna.
“Il principale effetto negativo di questa campagna sugli host infetti è l’esaurimento delle risorse, poiché il minatore XMRig utilizza quasi tutte le risorse CPU disponibili, mentre 9hits utilizza la maggior parte della larghezza di banda, della memoria e delle poche risorse CPU rimaste”, afferma il rapporto Cado Security. . “Di conseguenza, le attività legittime sui server infetti non possono essere eseguite correttamente.”
RedazioneSarebbe fantastico avere un agente AI capace di analizzare automaticamente il codice dei nostri progetti, individuare i bug di sicurezza, generare la correzione e pubblicarla subito in produzione. Epp...
La disillusione nei confronti degli incontri online spinge sempre più le donne a cercare intimità emotiva nel mondo virtuale. Sempre più donne si rivolgono all’intelligenza artificiale, ovvero ai...
Una falla critica di 13 anni, nota come RediShell, presente in Redis, permette l’esecuzione di codice remoto (RCE) e offre agli aggressori la possibilità di acquisire il pieno controllo del sistema...
Se n’è parlato molto poco di questo avvenimento, che personalmente reputo strategicamente molto importante e segno di un forte cambiamento nella gestione delle vulnerabilità non documentate in Ita...
Autore: Inva Malaj e Raffaela Crisci 04/10/2025 – Darkforums.st: “303” Rivendica Data Breach di 9 GB su Apple.com Nelle prime ore del 4 ottobre 2025, sul forum underground Darkforums è comparsa...
