Ataque de Criptojacking Baseado em TOR Expande-se Através de APIs Docker Mal Configuradas

Pesquisadores de segurança cibernética descobriram uma variante de campanha que abusa da rede TOR para ataques de criptojacking direcionados a APIs Docker expostas. A Akamai detectou a atividade em setembro de 2025.

O ataque envolve a quebra de APIs Docker mal configuradas para executar um novo container baseado na imagem Alpine Docker, montando o sistema de arquivos do host. Os invasores executam um payload codificado em Base64 para baixar um script de download de um domínio .onion.

O script altera configurações SSH para estabelecer persistência e instala ferramentas como masscan e torsocks para reconhecimento, contato com servidor C2 e download de um binário comprimido de um segundo domínio .onion.

O binário inclui verificações para portas 23 (Telnet) e 9222 (porta de depuração remota do Chromium), embora a funcionalidade de propagação por essas portas ainda não esteja totalmente implementada. A presença de um emoji no código fonte sugere possível uso de LLM na criação do artefato.

O malware varre a internet em busca de serviços Docker API abertos na porta 2375 para propagar a infecção. Dispositivos com portas de depuração remota expostas podem ser recrutados para uma botnet para roubo de dados ou ataques DDoS.

Campanha de Abuso do AWS SES

Em maio de 2025, a Wiz detalhou uma campanha no Amazon Simple Email Service (SES) que utilizou chaves de acesso AWS comprometidas para ataques de phishing em massa. Os invasores contornaram restrições do SES, verificaram novas identidades de "remetente" e conduziram operações de phishing com iscas temáticas de impostos.

A campanha atingiu várias organizações em múltiplos setores e geografias, demonstrando como serviços em nuvem mal configurados podem ser explorados para danos de marca e phishing avançado.