Uma nova campanha de malware está atacando APIs Docker mal configuradas expostas à internet, implantando cryptominers e utilizando a rede Tor para ocultar suas atividades. Inicialmente relatada em junho de 2025 pela equipe de Inteligência de Ameaças da Trend Micro, essa variante foi observada em honeypots da Akamai em agosto de 2025, ampliando suas capacidades de infecção. O malware explora portas Docker abertas (2375) para lançar um contêiner Alpine, montar o sistema de arquivos raiz do host e executar scripts maliciosos. A persistência é garantida por meio de modificações nas configurações SSH e criação de tarefas cron para comunicação discreta. A nova variante identificada pela Akamai não apenas implanta um cryptominer, mas também um pacote multifuncional que inclui ferramentas como masscan e libpcap, bloqueando o acesso a outras ameaças. Os indicadores de comprometimento incluem implantações incomuns de contêineres e conexões de saída para domínios .onion. Para mitigar esses riscos, recomenda-se restringir a exposição da API Docker e monitorar acessos não autorizados.
Fonte: https://cyberpress.org/docker-cryptominer-malware/
⚠️BR DEFENSE CENTER: SECURITY BRIEFING
10/09/2025 • Risco: ALTO
MALWARE
Novo Malware Explora APIs Docker Expostas para Implantar Cryptominer
RESUMO EXECUTIVO
O ataque a APIs Docker expostas representa uma ameaça significativa para empresas que utilizam essa tecnologia. A exploração de vulnerabilidades pode levar à instalação de malware, comprometendo a integridade dos sistemas e a segurança dos dados.
💼 IMPACTO DE NEGÓCIO
Financeiro
Possíveis perdas financeiras devido à exploração e uso indevido de recursos computacionais.
Operacional
Implantação de cryptominers e ferramentas de exploração em sistemas comprometidos.
Setores vulneráveis
['Tecnologia da Informação', 'Serviços Financeiros', 'E-commerce']
📊 INDICADORES CHAVE
Exploração de portas Docker abertas (2375).
Indicador
Uso de cron jobs para bloquear acessos não autorizados.
Contexto BR
Implantação de múltiplas ferramentas de ataque.
Urgência
⚡ AÇÕES IMEDIATAS
1
Verificar a configuração das APIs Docker e restringir o acesso à porta 2375.
2
Implementar regras de firewall para bloquear acessos não autorizados e monitorar atividades suspeitas.
3
Monitorar continuamente acessos à API Docker e implantações de contêineres.
🇧🇷 RELEVÂNCIA BRASIL
CISOs devem se preocupar com a segurança das APIs Docker, que são frequentemente mal configuradas e podem ser um vetor de ataque significativo.
⚖️ COMPLIANCE
Implicações legais e de compliance com a LGPD em caso de vazamento de dados.
Este conteúdo foi processado automaticamente pelo BR Defense Center (By River de Morais e Silva).
