Исследователи Darktrace и Cado Security раскрыли необычную схему криптодобычи, в которой злоумышленники уходят от привычного XMRig и делают ставку на децентрализованную платформу Teneo. В центре атаки — контейнерный образ «kazutod/tene:ten», размещённый на Docker Hub и скачанный уже более 300 раз.
После запуска вредонос запускает обфусцированный Python-скрипт, проходящий через 63 стадии распаковки. Его цель — установить постоянное WebSocket-соединение с сервером teneo[.]pro и отправлять так называемые «пульсы» (heartbeats), имитирующие активность. Эти сигналы конвертируются в токены $TENEO, хотя фактический сбор данных, о котором заявляет платформа, не осуществляется.
Такая модель добычи напоминает предыдущие атаки, где использовались инструменты вроде 9Hits Viewer и схемы proxyjacking, в которых жертвы неосознанно «арендовали» свою пропускную способность.
Отказ от XMRig обусловлен его легкой обнаруживаемостью. Новая схема, напротив, скрытна и устойчивее к защите.
по материалам
уникальность
