Ambienti AWS Lambda messi a rischio da un malware che mina crypto

Alcuni ricercatori hanno scoperto un nuovo malware di tipo miner che mette a repentaglio la sicurezza dell'ambiente AWS Lambda.

Avatar di Marco Doria

a cura di Marco Doria

AWS Lambda
, un servizio offerto da Amazon Web Services (AWS) mirato all'esecuzione di varie attività come manutenzione di server e sistemi operativi, esecuzione di codice, e molti altri servizi principalmente di backend
, sembra essere sotto attacco da un nuovo malware, noto come Denonia, analizzato dai ricercatori dell'azienda specializzata in sicurezza informatica Cado Security.

Il servizio cloud di AWS è utilizzato da diverse imprese di varie dimensioni in tutto il mondo e, in base alle ricerche di Cado, è messo a rischio di infezione da un malware mirato a minare criptovaluta sfruttando le risorse hardware dei computer interessati dall'attacco. Dalle analisi dei ricercatori, è emerso un file eseguibile ELF a 64 bit, che attinge da librerie GitHub di terze parti.

Inoltre, Denonia utilizza i DNS-over-HTTPS (DoH) tramite la libreria doh-go, probabilmente per impedire ad AWS di rilevare le ricerche di domini pericolosi, almeno secondo i ricercatori.

A oggi, non è noto il vettore d'attacco sfruttato per la distribuzione del malware negli ambienti Lambda, tuttavia, il team ipotizza l'uso di script mirati all'acquisizione di credenziali d'accesso o codici segreti da configurazioni con misure di protezione insufficienti.

Il malware esegue in memoria una versione personalizzata di XMRig, un miner che sfrutta le risorse hardware dei sistemi bersaglio per il mining della criptovaluta Monero. Di conseguenza, lo scopo principale di Denonia sarebbe appunto fornire un mezzo per dirottare risorse hardware verso la generazione di monete virtuali rivendibili.

I ricercatori di Cado hanno commentato la scoperta evidenziando un aspetto in particolare: nonostante si tratti di un malware in qualche modo "innocuo", dato che esegue solo software di crypto-mining, dimostra comunque che i cyber-criminali hanno una conoscenza avanzata del cloud, dal momento che sono riusciti a sfruttare un'infrastruttura alquanto complessa e ciò desta preoccupazione per eventuali attacchi più gravi che potrebbero essere perpetrati in futuro.

In ogni caso, l'azienda ha aggiunto due campioni del malware a VirusTotal, il sito web che consente di analizzare gratuitamente file e URL alla ricerca di virus e malware.

Leggi altri articoli