Il servizio cloud di AWS è utilizzato da diverse imprese di varie dimensioni in tutto il mondo e, in base alle ricerche di Cado, è messo a rischio di infezione da un malware mirato a minare criptovaluta sfruttando le risorse hardware dei computer interessati dall'attacco. Dalle analisi dei ricercatori, è emerso un file eseguibile ELF a 64 bit, che attinge da librerie GitHub di terze parti.
Inoltre, Denonia utilizza i DNS-over-HTTPS (DoH) tramite la libreria doh-go, probabilmente per impedire ad AWS di rilevare le ricerche di domini pericolosi, almeno secondo i ricercatori.
A oggi, non è noto il vettore d'attacco sfruttato per la distribuzione del malware negli ambienti Lambda, tuttavia, il team ipotizza l'uso di script mirati all'acquisizione di credenziali d'accesso o codici segreti da configurazioni con misure di protezione insufficienti.
Il malware esegue in memoria una versione personalizzata di XMRig, un miner che sfrutta le risorse hardware dei sistemi bersaglio per il mining della criptovaluta Monero. Di conseguenza, lo scopo principale di Denonia sarebbe appunto fornire un mezzo per dirottare risorse hardware verso la generazione di monete virtuali rivendibili.
I ricercatori di Cado hanno commentato la scoperta evidenziando un aspetto in particolare: nonostante si tratti di un malware in qualche modo "innocuo", dato che esegue solo software di crypto-mining, dimostra comunque che i cyber-criminali hanno una conoscenza avanzata del cloud, dal momento che sono riusciti a sfruttare un'infrastruttura alquanto complessa e ciò desta preoccupazione per eventuali attacchi più gravi che potrebbero essere perpetrati in futuro.
In ogni caso, l'azienda ha aggiunto due campioni del malware a VirusTotal, il sito web che consente di analizzare gratuitamente file e URL alla ricerca di virus e malware.