Publicidade

Novo malware mira sistemas serverless da Amazon

Por| Editado por Claudio Yuge | 08 de Abril de 2022 às 13h43

Link copiado!

Divulgação/Mandic
Divulgação/Mandic
Tudo sobre Amazon

Mais de seis anos depois da introdução da arquitetura Lambda, da Amazon Web Services, surge o primeiro malware voltado a explorar esse tipo de tecnologia. O Denonia, usado em ataques desde o começo deste ano, tenta utilizar os recursos serverless da gigante para minerar criptomoedas e reverter fundos para carteiras sob o controle dos criminosos.

O alerta sobre a campanha foi dado pelos pesquisadores da Cado Security, que citam ataques limitados usando a praga. O alvo seriam sistemas com arquitetura x86-64, atingidos a partir de um executável que passa a rodar de forma específica. A partir de então, os recursos das plataformas são direcionados para gerar Monero, em uma tendência que pode começar a crescer à medida que os agentes maliciosos se tornam mais e mais especializados.

Os especialistas não foram capazes de determinar o vetor de entrada do malware, mas a ideia é que credenciais vazadas podem ser utilizadas, assim como as chaves que dão acesso direto às infraestruturas. São técnicas que já foram usadas antes em golpes contra clientes AWS, também na distribuição de mineradores de criptomoedas. As vítimas só percebem a contaminação depois de receberem uma polpuda conta pelo uso dos servidores.

Continua após a publicidade

A Cado também aponta que o Denonia pode funcionar em servidores Linux, inclusive em caixas desse tipo fornecidas pela própria Amazon, já que tanto estas plataformas quanto as de arquitetura Lambda usam o sistema operacional. Além disso, a conexão com os servidores é feita de forma segura, como maneira de burlar parâmetros de segurança ou tentativas de bloquear tráfego malicioso.

Como apontam os especialistas em segurança, as infraestruturas fornecidas pela Amazon funcionam em um sistema de responsabilidade compartilhada; ou seja, ainda que todas as funções de proteção estejam disponíveis, cabe a cada cliente configurá-las da melhor forma possível, de acordo com as próprias aplicações. Isso também vale para o que roda sobre as tecnologias, já que estas também podem ser portas de entrada para os criminosos.

Sendo assim, manter sistemas sempre fechados e com boas soluções de autenticação é o caminho. Como a ideia é que os comprometimentos aconteceram a partir de credenciais roubadas ou vazadas, manter controles de acesso e sistemas de verificação em múltiplas etapas também ajuda a evitar problemas.

Fonte: Cado Security