Nouveau malware d’extraction de crypto-monnaie utilisé pour cibler AWS Lambda : chercheurs
Les programmes malveillants sont devenus un moyen de plus en plus populaire de compromettre les systèmes. Cette fois, les cybercriminels utilisent des logiciels malveillants pour cibler les infrastructures cloud avancées. Les chercheurs de Cado Security ont découvert un logiciel malveillant spécialement conçu pour cibler les environnements cloud Lambda d’Amazon Web Services (AWS).
Le nouveau malware, surnommé « Denonia », est essentiellement un malware de minage de crypto. Il infecte les environnements AWS Lambda et déploie des cryptomineurs infectieux qui exploitent ensuite automatiquement la crypto-monnaie Monero. Pour les non-initiés, AWS Lambda est une plate-forme informatique utilisée par plus de 8000 entreprises, qui est utilisée pour exécuter des sites Web sans serveur, ou par exemple des sauvegardes automatisées. La plupart du temps, les entreprises qui s’appuient sur des logiciels lourds utilisent le service Web Lambda d’Amazon.
Selon les chercheurs, Denonia n’est pas utilisée pour autre chose que des activités minières illicites, « cela montre comment les attaquants utilisent des connaissances avancées spécifiques au cloud pour exploiter une infrastructure cloud complexe, et est révélateur d’attaques potentielles futures et plus néfastes », a écrit Cado. Matt Muir dans un article de blog.
L’extraction de crypto, essentiellement, exécute un ensemble de programmes sur des appareils haut de gamme ou sur des environnements basés sur le cloud pour gagner des crypto-monnaies.
Les chercheurs ont trouvé un exemple d’exécutable 64 bits ciblant les systèmes x86-64. Ce malware est téléchargé sur VirusTotal en février. En janvier, ils ont ensuite découvert un deuxième échantillon téléchargé un mois plus tôt, faisant allusion à ces attaques s’étalant sur au moins deux mois.
« Bien que ce premier échantillon soit assez inoffensif dans la mesure où il n’exécute que des logiciels de crypto-mining, il montre comment les attaquants utilisent des connaissances avancées spécifiques au cloud pour exploiter une infrastructure cloud complexe, et est révélateur d’attaques potentielles futures et plus néfastes », ont déclaré les chercheurs de Cado. mentionné.
Il convient de noter que les chercheurs de Cado n’ont pas été en mesure de déterminer comment les attaquants ont pu déployer leurs logiciels malveillants sur des environnements compromis. Cependant, les chercheurs soupçonnent que les pirates ont probablement utilisé des clés d’accès et secrètes AWS volées. « Cela montre que, bien que de tels environnements d’exécution gérés réduisent la surface d’attaque, des informations d’identification égarées ou volées peuvent entraîner rapidement des pertes financières massives en raison de la détection difficile d’un compromis potentiel », ont noté les chercheurs.
« Dans le cadre du modèle de responsabilité partagée d’AWS, AWS sécurise l’environnement d’exécution Lambda sous-jacent, mais il appartient au client de sécuriser lui-même les fonctions. Nous soupçonnons que cela est probablement dû aux environnements Lambda « sans serveur » utilisant Linux sous le capot, de sorte que le logiciel malveillant pensait qu’il était exécuté dans Lambda (après avoir défini manuellement les variables d’environnement requises) malgré son exécution dans notre bac à sable « , ont ajouté les chercheurs.