El nuevo malware TrafficStealer monetiza el tráfico de red

Históricamente, los ciberdelincuentes se han centrado en los contenedores Docker para aprovechar su poder de procesamiento basado en la nube para ejecutar software de criptominería o realizar ataques de reconocimiento mediante la ejecución de comandos de Linux.

Se ha observado una amenaza única, denominada TrafficStealer, que se dirige a los contenedores Docker para generar ingresos mediante la monetización del tráfico web y la interacción con los anuncios. Se puede contemplar como una versión armada de un servicio de enrutamiento de tráfico genuino.

Según Trend Micro, TrafficStealer utiliza una imagen de contenedor preconstruida con funciones de monetización de tráfico. Todo esto se hizo abusando del sistema trampa establecido por la agencia de investigación.

Los atacantes utilizaron una imagen de contenedor Docker, desarrollada para ofrecer un servicio de monetización de tráfico. Cuando los usuarios se suscriben a este servicio, necesitan instalar un software que enruta el tráfico de la red a través de su dispositivo, generando ingresos.

Sin embargo, este software en contenedores no brinda ningún detalle sobre el tráfico que fluye a través del dispositivo del suscriptor.

Además, si se ejecuta sin saberlo en el recurso de la nube objetivo, puede aprovechar el tráfico de la red de la víctima (de manera similar a como los criptomineros abusan del recurso de la CPU genuina para extraer criptomonedas) y generar ingresos para el atacante. La imagen del contenedor se extrajo más de 500 000 veces de Docker Hub, lo que indica la escala masiva de este ataque.

¿Cómo funciona TrafficStealer?

TrafficStealer utiliza una combinación de dos técnicas: rastreo web y simulación de clics.
Los atacantes escanean Internet para identificar sitios web con un alto potencial para generar ingresos publicitarios. Estos sitios están dirigidos específicamente y dirigen el tráfico a ellos a través de su red.
En estos sitios de alto valor, los atacantes generan clics falsos en los anuncios, lo que genera altos ingresos publicitarios.
El servicio TrafficStealer requiere que sus suscriptores creen una cuenta y generen un token para usar durante la monetización, junto con una identificación única para ejecutar el servicio localmente.
Sin embargo, en este ataque, los atacantes utilizaron su propio token codificado, desviando todos los ingresos a su propia cuenta.

Los actores de amenazas desarrollaron archivos de configuración YAML personalizados y canalizaciones en la nube para automatizar la implementación de este servicio, lo que resultó en una implementación más rápida y escalable en las redes objetivo.
Además, no crearon ningún terminal TTY (un terminal de línea de comandos utilizado para ingresar los comandos) para evadir la seguridad. Un TTY se considera un signo revelador de ataques automatizados. Además, el servicio ofrece un tablero para monitorear los detalles de los nodos infectados, incluido el sistema operativo y la dirección IP.