Graboid è un nuovo un worm cryptojacking, rilevato dai ricercatori di Unit 42 hanno rilevato e diffuso in oltre 2.000 host Docker non protetti. Il nome è un tributo al film degli anni ’90 “Tremors”, in quanto il worm ha un comportamento simile ai vermi della sabbia presenti nella pellicola, che si muovono molto velocemente per brevi tratti, ma nel complesso sono relativamente inetti.
Abbiamo già assistito ad attacchi causati da malware cryptojacking che si sono diffusi come un worm, ma è la prima volta che vediamo un worm cryptojacking che si diffonde utilizzando i container in Docker Engine (Community Edition). La maggior parte dei software tradizionali per la protezione degli endpoint non analizza i dati e le attività presenti nei container, perciò è stato più difficile rilevare questo codice pericoloso. Il suo autore ha sfruttato come appoggio i daemon Docker non protetti, in cui è stata inserita un’immagine Docker per essere eseguita sull’host compromesso. Il malware, scaricato dai server Command&Control (C2), è utilizzato per attività di mining di Monero e periodicamente cerca nuovi host vulnerabili sui C2 e sceglie gli obiettivi a cui inviare il worm in modo casuale. Dalla nostra analisi, ogni miner è attivo in media il 63% del tempo e ogni periodo di mining dura 250 secondi. Il team Docker ha collaborato con Unit 42 per rimuovere le immagini pericolose una volta segnalata questa attività fraudolenta.
