Tres grandes campañas maliciosas de malware han sido descubiertas recientemente utilizando repositorios de Docker para alojar malware. Según los investigadores de JFrog, dichas campañas están activas desde principios del 2021, y además de malware, también son usadas por los actores de amenaza para impulsar spam y phishing. Estas campañas fueron llamadas por los investigadores como:
Es una plataforma cloud que ofrece muchas funcionalidades a los desarrolladores, entre las cuales se encuentran: el desarrollo, la colaboración y la distribución de imágenes de Docker. Es una de las plataformas de contenedores más usada actualmente por los desarrolladores de todo el mundo que alberga más de 15 millones de repositorios.
De ese número de repositorios de acuerdo a un estudio de JFrog, al menos el 20% del compilado de repositorios alojan contenido malicioso, que iba desde el simple spam que promueve contenido ilegítimo, hasta entidades extremadamente maliciosas como sitios de malware y phishing, cargados por cuentas generadas automáticamente. La clasificación de los repositorios maliciosos se expone de la siguiente manera:
Ilustración 1: Clasificación de repositorios maliciosos
Fuente: JFrog
Cronología de las campañas
Las campañas se han dado en dos etapas:
2021: Dominios maliciosos que se hacen pasar por acortadores de URL para codificar un archivo. Para hacerlo resuelven un vínculo a un dominio diferente cada vez que son descubiertos.
2023: Existe una mejora en las técnicas de detección en lugar de enlaces directos como en la campaña anterior, usan recursos o librerías legítimas que redireccionan a los usuarios a las fuentes maliciosas.
Ambas etapas de campañas se enfocan en aprovechar la credibilidad de la plataforma Docker para engañar a usuarios desprevenidos.
Campaña Downloader
Esta campaña usa como método de propagación descargas de videojuegos pirateado, donde los actores de amenaza generan el texto SEO automáticamente para engañar a los usuarios con contenido o trucos para videojuegos redireccionándolos a los enlaces maliciosos para la posterior descarga de malware.
Ilustración 2: Propagación de la campaña “Downloader”
Fuente: JFrog
Campaña eBook Phishing
Una campaña llamada "eBook Phishing" se aprovechó maliciosamente de Docker Hub, creando casi un millón de repositorios a mediados de 2021 para distribuir spam y ofrecer descargas gratuitas de libros electrónicos. Estos repositorios tenían descripciones generadas aleatoriamente y proporcionaban URLs de descarga. Los usuarios que intentaban descargar un libro gratuito eran redirigidos a páginas aleatorias que dependían de su país, donde se les pedía información de tarjetas de crédito. El objetivo era robar estos datos y, sin que los usuarios lo supieran, inscribirlos en servicios de suscripciones que costaban entre 40 y 60 euros al mes. El pie de estas páginas contenía texto apenas legible que advertía sobre el costo de la suscripción.
Ilustración 3: Propagación de la campaña “EbookPhishing”
Fuente: JFrog
Campaña Website SEO
La campaña "SEO de sitios web" se diferencia de otras campañas maliciosas por no tener un objetivo claramente malicioso, aunque sus repositorios fueron creados con un objetivo malicioso. Estos repositorios generalmente contienen cadenas de descripción aleatorias y nombres de usuario siguiendo el patrón "axaaaaaxxx", donde 'a' es una letra y 'x' es un dígito. Todos los repositorios tienen el mismo nombre: "sitio web". Se cree que esta campaña podría haber sido utilizada como una especie de prueba de estrés antes de lanzar campañas maliciosas más grandes. A diferencia de campañas anteriores, que creaban miles de repositorios desde un solo usuario en un corto período de tiempo, esta campaña publicaba solo un repositorio por usuario pero mantenía un ritmo constante, creando mil repositorios diariamente durante tres años. Los repositorios contienen descripciones breves, aparentemente sin sentido, y algunos incluyen enlaces a redes sociales que no parecen ser maliciosos. La campaña presenta un patrón de creación diferente y no está claro su propósito final, pero se destaca por la persistencia y la cantidad masiva de repositorios creados, durante ese largo periodo de tiempo.
¿Cómo pueden evitar los usuarios caer en éste tipo de campañas?
Apreciación
Los actores de amenaza buscan cada vez más plataformas legítimas para ocultar su contenido malicioso, es por ello que se debe estar muy atento de la confiabilidad de los repositorios antes de efectuar acciones con el mismo, de manera tal, que se pueda reducir la superficie de ataque que pueden operar los actores maliciosos para efectuar este tipo de campañas.
En la misma línea, es igualmente importante dentro de las políticas de seguridad que se implementen tanto a nivel personal como corporativo; la constante capacitación y concientización de los usuarios en temas de seguridad, sobre todo a los desarrolladores que cada vez se convierten en el blanco de los actores de amenaza, por ser consideradas un enlace directo para acceder a la infraestructura de la organización.
El Centro de Ciberinteligencia de Entel CyberSecure recomienda lo siguiente:
https://www.bleepingcomputer.com/news/secu... |
Tipo | Indicador |
---|---|
dominio | failhostingpolp[.]ru |
dominio | gts794[.]com |
dominio | blltly[.]com |
dominio | ltlly[.]com |
dominio | bytlly[.]com |
dominio | cinurl[.]com |
dominio | imgfil[.]com |
dominio | jinyurl[.]com |
dominio | miimms[.]com |
dominio | picfs[.]com |
dominio | shoxet[.]com |
dominio | shurll[.]com |
dominio | ssurll[.]com |
dominio | tinourl[.]com |
dominio | tinurli[.]com |
dominio | tinurll[.]com |
dominio | tiurll[.]com |
dominio | tlniurl[.]com |
dominio | tweeat[.]com |
dominio | urlca[.]com |
dominio | urlcod[.]com |
dominio | urlgoal[.]com |
dominio | urllie[.]com |
dominio | urllio[.]com |
dominio | urloso[.]com |
dominio | urluso[.]com |
dominio | urluss[.]com |
dominio | vittuv[.]com |
dominio | rd[.]lesac[.]ru |
dominio | soneservice[.]tienda |
url | http://soneservice.shop/new... |