Malware para mineração de monero (XMR) é encontrado em plataforma da Amazon
Nesta sexta-feira (21), Mitiga, empresa de cibersegurança descobriu malwares ocultos de mineração cripto em uma oferta digital fornecida por um mercado comunitário da Amazon Web Services (AWS).
Incidentes do chamado “cryptojacking” acontecem há anos, se referindo às infinitas formas pelas quais código clandestino — geralmente para a criptomoeda monero — é usado para infectar computadores para propósitos de criar poder de hash (computacional).
No fim de julho, por exemplo, um grupo de pesquisadoras da Cisco Talos forneceu detalhes sobre um botnet de cryptojacking descoberto em março com vítimas espalhadas pela América do Norte, Ásia e América do Sul.
O aviso de vulnerabilidade publicado pelo Mitiga destacou o código malicioso descoberto no Amazon Machine Instance (AMI) disponível no AWS Marketplace. AWS Marketplace permite a venda e a oferta de muitos tipos diferentes de serviços e aplicações digitais, incluindo sistemas operacionais.
O mercado é repleto de vendedores confiáveis que são certificados pela AWS, mas qualquer usuário da plataforma pode criar um AMI e torná-lo disponível para quem também usa o serviço. Foi em uma dessas ofertas da comunidade que Mitiga afirmou ter descoberto o código malicioso.
“Em uma interação recente de cliente com uma instituição financeira, nos perdiram para avaliar a resiliência de nuvem do ambiente para se preparar melhor para um possível incidente. Como parte de nossa avaliação do ambiente AWS da empresa contra um banco de contextos de ataque, descobrimos um minerador ativo de cripto em um dos servidores EC2 [“Nuvem Computacional Elástica”] da empresa”, explicou Mitiga.
“O minerador cripto não surgiu lá do nada devido a uma invasão ou configuração incorreta. Em vez disso, esteve lá o tempo todo, como cortesia do AMI usado para criar a ocorrência EC2 executada desde o início.”
Segundo capturas de tela compartilhadas com o The Block, o AMI — uma oferta de 2008 do Windows Server — continha código para NsCpuCNMiner64, um cavalo de troia que secretamente usa o poder de processamento de um computador para a mineração.
Mitiga contou ao The Block que entrou em contato com a Amazon, mas ainda não obteve resposta.
Ainda assim, na documentação do site, AWS destaca que o uso de tais AMIs da comunidade possui seus próprios riscos.
“A Amazon não pode garantir a integridade ou segurança dos AMIs compartilhados por outros usuários do EC2 da Amazon. Assim, você deve considerar os AMIs compartilhados assim como outro código externo que você pode considerar antes de aplicar seus próprios centros de dados e realizar análises adequadas. Recomendamos que você obtenha AMIs de fontes confiáveis”, explicou o serviço.
Ofer Maor, cofundador e CTO da Mitiga, disse ao The Block que o AMI foi apenas um exemplo descoberto no momento, mas enfatizou que “existem milhares e milhares de AMIs da comunidade e não existem detalhes aos números de download, quem os publicou etc. Você vê quão problemático é isso tudo?”.
“Nossa opinião profissional é emitir uma nota de segurança porque sentimos que o risco é enorme”, continuou Maor.
No comunicado, Mitiga alertou que o cavalo de troia escondido destaca o risco de usar AMIs da comunidade não verificados e recomenda o uso dos AMIs oferecidos por fontes confiáveis.
“Por precaução, se você está utilizando um AMI da comunidade, recomendamos que verifique ou encerre esses serviços e busque por AMIs de fontes confiáveis.”
Golpes de roubo de criptoativos
no Tinder e outros ataques