Uma Máquina Virtual AWS Está Infectada Com Malware De Mineração. Pode Haver Outros

Uma empresa de segurança cibernética desenterrou um script de mineração Monero embutido em uma instância pública de uma máquina virtual Amazon Web Service (AWS). Agora, a empresa está levantando a questão: Quantas outras Amazon Machine Instances (AMIs) da comunidade estão infectadas com o mesmo malware?

Pesquisadores emMiga revelado em uma postagem de blog na sexta-feira que um AWS AMI para um servidor virtual Windows 2008 hospedado por um fornecedor não verificado está infectado com um script de mineração Monero . O malware teria infectado qualquer dispositivo executando o AMI com o propósito de usar o poder de processamento do dispositivo para minerar a moeda de Política de Privacidade Moneroem segundo plano – um ataque de malware que se tornou muito comum no oeste selvagem digital das criptomoedas.

“A equipe de pesquisa de segurança da Mitiga identificou uma AMI da Comunidade AWS contendo código malicioso executando um minerador de Cripto não identificado (Monero). Temos preocupações de que isso possa ser um fenômeno, em vez de uma ocorrência isolada”, diz o post do blog.

Monero encontra AMI

Empresas e outras entidades usam o Amazon Web Services para criar o que são chamadas de instâncias “EC2” de programas e serviços populares. Também conhecidas como máquinas virtuais, essas EC2s são desenvolvidas por terceiros e são implantadas sob aInstância da máquina Amazonframework, e as empresas alavancam esses serviços para reduzir os custos de poder de computação para suas operações comerciais. Os usuários da AWS podem obter esses serviços de AMIs do Amazon Marketplace, que são fornecedores verificados pela Amazon, ou AMIs da Comunidade, que não são verificados.

Leia Mais: BlackBerry e Intel combatem malware de criptojacking com nova ferramenta de detecção

Mitiga descobriu esse script Monero em um Community AMI para um Windows 2008 Server enquanto conduzia uma auditoria de segurança para uma empresa de serviços financeiros. Em sua análise, Mititga concluiu que o AMI foi criado com o único propósito de infectar dispositivos com o malware de mineração, já que o script foi incluído no código do AMI desde o ONE dia.

Fora da empresa de serviços financeiros que contratou a Mitiga para revisar o AMI, a empresa de segurança cibernética não tem conhecimento de quantas outras entidades e dispositivos podem estar infectados com o malware.

“Sobre como a Amazon permite que isso aconteça, bem, essa é a maior questão que surge dessa Confira, mas é uma questão que também deve ser direcionada à equipe de comunicações da AWS”, disse a equipe ao CoinDesk por e-mail.

A CoinDesk entrou em contato com a Amazon Web Services para Aprenda mais sobre sua abordagem para lidar com editores AMI não verificados, mas um representante se recusou a comentar. Amazon Web Service's documentação inclui a ressalva de que os usuários escolhem usar AMIs da Comunidade "por sua própria conta e risco" e que a Amazon "T pode garantir a integridade ou segurança [dessas] AMIs".

Evento único ou um entre muitos?

A principal preocupação da Mitiga é que esse malware pode ser um dos vários bugs que circulam em AMIs não verificadas. O fato de a Amazon não fornecer dados transparentes sobre o uso da AWS exacerba essa preocupação, disse a empresa ao CoinDesk.

“Como o uso do cliente da AWS é ofuscado, T podemos saber até onde e quão amplo esse fenômeno se estende sem a investigação da própria AWS. No entanto, acreditamos que o risco potencial é alto o suficiente para emitir um aviso de segurança a todos os clientes da AWS que usam Community AMIs.”

Leia Mais: Coreia do Norte está expandindo suas operações de mineração de Monero , diz relatório

A Mitiga recomenda que qualquer entidade que execute uma AMI comunitária a encerre imediatamente e procure uma substituição de um fornecedor confiável. No mínimo, as empresas que dependem da AWS devem revisar meticulosamente o código antes de integrar AMIs não verificadas em sua lógica de negócios.

O malware de mineração pode ser, na verdade, a forma mais inócua de infecção que uma empresa pode experimentar, a empresa continuou no post. O pior cenário inclui uma AMI instalando um backdoor no computador de uma empresa ou um ransomware que criptografaria os arquivos da empresa com o objetivo de extorquir dinheiro para recuperar o acesso.

O ataque é o mais recente em uma tendência dos chamados ataques de “crypto-jacking”. Monero é a moeda escolhida pelos atacantes graças ao seu algoritmo de mineração, que pode ser executado facilmente usando a CPU e a GPU de um computador. Quando os atacantes infectam computadores suficientes e reúnem seus recursos, o hashpower coletivo é suficiente para merecer um belo pagamento.

Se os medos de Mitiga forem verdadeiros, outras AMIs podem ter infectado dispositivos de usuários com scripts de mineração Monero e passado despercebidas.