trading-6531134_1280.jpg

Novo malware usa AWS Lambda para instalar criptomineradores

Da Redação
10/04/2022

Pesquisadores de segurança descobriram um malware desenvolvido especificamente para atingir ambientes de nuvem Lambda da Amazon Web Services (AWS) com criptomineradores. O AWS Lambda é uma plataforma de computação sem servidor para executar código de centenas de serviços da AWS e aplicativos de software como serviço (SaaS) com gerenciamento automático dos recursos.

O novo malware, apelidado de Denonia pelos pesquisadores da empresa de cibersegurança Cado Security, que o identificaram sendo usado em ataques limitados, é um wrapper baseado em linguagem Go projetado para implantar um criptominer XMRig personalizado para minerar a criptomoeda Monero. Wrapper tem como função “envolver coisas” adicionando funcionalidades a elas ou adptando-as para fazer uma tarefa ligeiramente diferente no processo. 

A amostra encontrada foi um executável ELF de 64 bits direcionado a sistemas x86-64 carregados no serviço online VirusTotal em fevereiro. Mais tarde, eles descobriram uma segunda amostra enviada um mês antes, em janeiro, sugerindo que esses ataques duravam pelo menos alguns meses.

“Embora esta primeira amostra seja bastante inócua, pois executa apenas software de mineração de criptografia, ela indica que os invasores estão usando conhecimento avançado para explorar infraestrutura de nuvem complexa e é indicativo de possíveis ataques futuros e mais nefastos”, disseram os pesquisadores da Cado Security. 

A empresa não conseguiu descobrir como os invasores conseguiram implantar o malware, mas suspeita que eles provavelmente usaram chaves secretas e de acesso da AWS roubadas ou vazadas, uma tática usada anteriormente para obter scripts bash projetados para baixar e executar mineradores. O minerador teria gerado o equivalente a US$ 45 mil em criptomoeda depois de ficar ativo por algumas semanas.

Veja isso
Hackers implantam criptominerador em kubernetes
AWS corrige falhas que expunham dados de clientes

De acordo com o modelo de responsabilidade compartilhada, a AWS protege o ambiente de execução Lambda, mas cabe ao cliente proteger as próprias funções.

Embora o Denonia tenha sido projetado para o AWS Lambda, pois verifica as variáveis ​​do ambiente antes da execução, a Cado Security também descobriu que ele pode ser executado sem problemas em ao menos alguns sistemas Linux, como, por exemplo, “caixas” Amazon Linux. Os pesquisadores da empresa descobriram durante a análise dinâmica que a amostra continuará com a execução também fora de um ambiente Lambda, ou seja, de “caixas Amazon Linux.

O malware também usa DNS (sistema de nomes de domínio) sobre HTTPS (DoH) para realizar pesquisas de DNS em uma conexão HTTPS criptografada, em vez de consultas DNS de texto simples regulares. Isso, segundo os pesquisadores da Cado Security, ajuda a reduzir a probabilidade de acionar a detecção e também bloqueia tentativas de inspecionar seu tráfego malicioso, revelando apenas conexões com resolvedores Cloudflare e Google DoH.

Compartilhar: