Cookie-Bite: Su MFA fue hackeado a través de una cookie. Sí, el del navegador
Las cookies del navegador resultaron ser incluso más dulces de lo que los piratas informáticos pensaban.
Últimamente, los criptomineros están adoptando enfoques cada vez más inusuales, y una nueva campaña maliciosa descubierta por los investigadores de Darktrace y Cado Security confirma esta tendencia. A diferencia de los ataques tradicionales con XMRig, los atacantes ahora se enfocan en entornos Docker, implementando un esquema inusual relacionado con la plataforma Web3 llamada Teneo.
Los atacantes lanzan una imagen de contenedor llamada «kazutod/tene:ten», alojada en Docker Hub. Desde su publicación, ha sido descargada 325 veces. Al ejecutarse, la imagen activa un script en Python que pasa por 63 etapas de descompresión antes de establecer conexión con el servidor «teneo[.]pro». Todo el código está cuidadosamente ofuscado, lo que dificulta su análisis.
La particularidad del ataque radica en que, en lugar de la minería estándar, se utiliza un método para generar tokens $TENEO mediante una conexión pasiva a la plataforma homónima. Este sistema se presenta como una infraestructura descentralizada que incentiva la recopilación de datos públicos en redes sociales. Sin embargo, en el ataque registrado no se realiza ningún scraping real: el malware simplemente mantiene una conexión constante vía WebSocket, enviando señales de actividad —los llamados heartbeats. Estos «latidos» permiten obtener puntos internos llamados Teneo Points, que se pueden convertir en criptomoneda.
El esquema recuerda a otra ola de ataques relacionados con la instalación del software 9Hits Viewer en instancias Docker comprometidas. En ese caso, el objetivo era generar tráfico artificial hacia sitios web para obtener créditos. Estas acciones se asemejan a la práctica del Proxyjacking, en la que las víctimas comparten involuntariamente su ancho de banda a cambio de una recompensa virtual.
El abandono de XMRig se explica por su alta detectabilidad con las soluciones de seguridad actuales. En su lugar, los atacantes exploran esquemas menos evidentes y mejor camuflados. La rentabilidad de este nuevo modelo aún genera dudas, pero su resistencia a la detección lo hace especialmente peligroso.
Los nuevos métodos de minería de criptomonedas y de infección demuestran la rapidez con la que evolucionan las amenazas en el espacio digital. Esto exige que las empresas adopten enfoques muy flexibles para proteger sus soluciones en la nube y en contenedores.
No esperes a que los hackers te ataquen: ¡suscríbete a nuestro canal y conviértete en una fortaleza impenetrable!