Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Truffa ai danni degli host Docker compromessi. XMRing e 9hits aiutano i criminali a guadagnare attraverso traffico e criptovaluta

Redazione RHC : 19 Gennaio 2024 16:19

Una nuova campagna dannosa che prende di mira i servizi Docker vulnerabili installa il minatore XMRig e l’applicazione 9hits su host compromessi. Di conseguenza, gli aggressori monetizzano i sistemi compromessi non solo attraverso il mining, ma anche generando traffico.

Gli esperti di Cado Security che hanno scoperto questi attacchi affermano che 9hits è una piattaforma di scambio di traffico. In tale piattaforma i partecipanti possono generare traffico per i rispettivi siti. Il traffico è generato dall’applicazione 9hits, utilizza una versione headless di Chrome per visitare i siti richiesti da altri partecipanti. In questo modo gli utenti guadagnano crediti che possono poi essere utilizzati per pagare il traffico verso i propri siti.

Gli aggressori installano l’applicazione 9hits su host Docker compromessi. Questo gli consente di generare crediti per se stessi sfruttando le risorse di questi sistemi per ottenere traffico all’interno del sistema 9hits.


CALL FOR SPONSOR - Sponsorizza l'ottavo episodio della serie Betti-RHC

Sei un'azienda innovativa, che crede nella diffusione di concetti attraverso metodi "non convenzionali"? Conosci il nostro corso sul cybersecurity awareness a fumetti? Red Hot Cyber sta ricercando un nuovo sponsor per una nuova puntata del fumetto Betti-RHC mentre il team è impegnato a realizzare 3 nuovi episodi che ci sono stati commissionati.

Contattaci tramite WhatsApp al numero 375 593 1011 per richiedere ulteriori informazioni oppure alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    “Questo è il primo caso documentato di malware che distribuisce l’applicazione 9hits come payload”, ha osservato Cado Security.

    Sebbene non sia chiaro come gli aggressori trovino i sistemi da hackerare, gli esperti ritengono che probabilmente utilizzino servizi di scansione di rete. Utilizzando tali sistemi (come Shodan) scoprono server vulnerabili, li compromettono e poi distribuiscono container dannosi tramite l’API Docker.

    In questo caso, i contenitori utilizzano immagini ottenute da Dockerhub per ridurre i sospetti. Lo script esaminato dagli esperti utilizza la CLI Docker per impostare DOCKER_HOST e le normali chiamate API per ottenere ed eseguire i container.

    Di conseguenza, il contenitore 9hits esegue uno script (nh.sh) con un token di sessione. Tale token gli consente di autenticarsi e generare crediti per gli aggressori (visitando i siti da un determinato elenco). Allo stesso tempo, il sistema dei token di sessione è progettato per funzionare anche in ambienti non attendibili. In questo modo gli aggressori possono realizzare profitti senza il rischio di essere bannati.

    Va osservato che gli hacker hanno impostato determinati parametri per l’applicazione 9hits. Ad esempio consentendo i popup o la visita di siti per adulti, ma vietando i siti relativi alla criptovaluta.

    Processi avviati dal contenitore 9hits

    Nel frattempo, in un altro container, viene lanciato il miner XMRig, che mina la criptovaluta Monero per gli hacker utilizzando risorse cloud. Il miner si connette a un pool privato, quindi è impossibile monitorare la portata e il reddito degli hacker derivanti da questa campagna.

    “Il principale effetto negativo di questa campagna sugli host infetti è l’esaurimento delle risorse, poiché il minatore XMRig utilizza quasi tutte le risorse CPU disponibili, mentre 9hits utilizza la maggior parte della larghezza di banda, della memoria e delle poche risorse CPU rimaste”, afferma il rapporto Cado Security. . “Di conseguenza, le attività legittime sui server infetti non possono essere eseguite correttamente.”

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Stai pianificando il passaggio da Windows a Linux? Allora passa, APT36 è già lì ad aspettarti!
    Di Redazione RHC - 25/08/2025

    APT36, noto anche come Transparent Tribe, ha intensificato una nuova campagna di spionaggio contro organizzazioni governative e di difesa in India. Il gruppo, legato al Pakistan, è attivo almeno ...

    Malware Forge: Nasce il laboratorio di Malware Analysis di Red Hot Cyber
    Di Redazione RHC - 25/08/2025

    Nasce una nuova stella all’interno dell’ecosistema di Red Hot Cyber, un progetto pianificato da tempo che oggi vede finalmente la sua realizzazione. Si tratta di un laboratorio allȁ...

    200 modelli di auto vulnerabili? Sul darknet spunta il firmware ‘killer’ per Flipper Zero
    Di Redazione RHC - 25/08/2025

    Il tema dell’hacking e del furto di auto tramite Flipper Zero è tornato alla ribalta in tutto il mondo e anche noi ne abbiamo parlato con un recente articolo. Questa volta, gli hacker hann...

    “Figliuolo, accedi allo smartphone di tuo padre!” Forte aumento delle Frodi che utilizzano i minori
    Di Redazione RHC - 25/08/2025

    F6 ha segnalato un forte aumento delle frodi in cui i criminali sfruttano i minori per accedere ai conti bancari dei genitori. Secondo gli analisti, nella prima metà del 2025 sono stati registrat...

    Windows 11 Insider Preview: nuove funzionalità e miglioramenti in vista
    Di Redazione RHC - 25/08/2025

    Microsoft ha rilasciato una nuova build 26200.5761 (KB5064093) di Windows 11 Insider Preview per gli utenti Windows Insider nel Canale Dev. L’aggiornamento introduce diverse interessanti funzio...