O cryptojacking continua sendo uma das ameaças mais recorrentes e lucrativas no ecossistema digital, e os ambientes de cloud computing, especialmente a AWS, tornaram-se alvos prioritários para esse tipo de ataque. A combinação entre grande capacidade computacional, escalabilidade automática e falhas na gestão de identidades cria um cenário ideal para a mineração ilícita de criptomoedas.
Recentemente, pesquisadores de segurança identificaram uma campanha sofisticada que se destaca pelo uso de credenciais IAM comprometidas, automação avançada e uma técnica pouco explorada de persistência que dificulta a resposta a incidentes. O ataque demonstra um salto qualitativo na forma como agentes maliciosos exploram serviços gerenciados da AWS.
Neste artigo, analisamos em detalhes essa campanha de mineração maliciosa na nuvem, explicamos cada etapa da cadeia de ataque e apresentamos um guia prático e mandatório para reforçar a segurança de contas AWS diante desse novo nível de ameaça.
O ponto de partida credenciais IAM e a fase de reconhecimento
O ataque tem início com o comprometimento de credenciais do IAM, normalmente chaves de acesso expostas em repositórios públicos, pipelines de CI/CD ou aplicações mal configuradas. Uma vez em posse dessas credenciais, os atacantes iniciam uma fase de reconhecimento extremamente cautelosa, buscando entender quais permissões estão disponíveis sem levantar suspeitas.
Um elemento central dessa etapa é o uso do parâmetro DryRun na API RunInstances. Essa funcionalidade permite testar se a conta possui autorização para criar instâncias sem que nenhuma seja realmente provisionada. Com isso, o invasor valida permissões críticas sem gerar custos, consumo de recursos ou eventos óbvios que chamem a atenção da equipe de segurança.
Essa abordagem revela um conhecimento profundo da infraestrutura da AWS, além de demonstrar como erros na gestão de permissões do IAM podem abrir caminho para ataques silenciosos e altamente eficazes.
A cadeia de ataque em múltiplos estágios na AWS
Após confirmar que possui acesso suficiente, o atacante avança para uma cadeia de ataque estruturada em múltiplos estágios, projetada para garantir persistência, escala e resiliência. O primeiro passo é a criação de novas funções e vínculos no IAM por meio das APIs CreateServiceLinkedRole e CreateRole, estabelecendo mecanismos adicionais de permanência na conta.
Em seguida, são criados dezenas de clusters no Amazon ECS, aproveitando a flexibilidade do serviço para distribuir a carga de trabalho de mineração. A execução ocorre via ECS Fargate, o que elimina a necessidade de instâncias EC2 visíveis e reduz drasticamente os sinais tradicionais de comprometimento.
A carga maliciosa é distribuída por meio de uma imagem hospedada no DockerHub, identificada como yenik65958/secret:user, que contém um minerador configurado para explorar a criptomoeda RandomVIREL. Cada tarefa Fargate executa o contêiner de forma aparentemente legítima, consumindo recursos de CPU e memória continuamente.
Esse modelo marca uma evolução clara nos ataques de cryptojacking em ambientes de cloud, mostrando como serviços gerenciados podem ser abusados para ocultar atividades ilícitas por longos períodos.
A técnica de evasão desabilitando o encerramento da instância
Um dos aspectos mais críticos da campanha é o uso da API ModifyInstanceAttribute com o parâmetro disableApiTermination definido como True. Essa configuração impede que determinadas instâncias sejam encerradas por chamadas de API convencionais, mesmo durante uma ação deliberada de contenção.
Na prática, isso significa que uma equipe de resposta a incidentes pode identificar o recurso comprometido, tentar finalizá-lo e falhar, prolongando a execução da mineração maliciosa. Essa técnica já havia sido documentada por pesquisadores como um risco teórico, mas agora surge aplicada em um ataque real e em escala.
Ao dificultar diretamente a remoção dos recursos comprometidos, os atacantes ampliam o tempo de permanência no ambiente, maximizam o retorno financeiro e aumentam o impacto operacional para a vítima.
Indo além acesso ao Amazon SES e riscos adicionais
A campanha não se limita à mineração de criptomoedas. Em algumas contas analisadas, também foi observada a criação de funções Lambda associadas à política AmazonSESFullAccess. Esse movimento indica uma possível ampliação do ataque para atividades como envio de spam ou campanhas de phishing a partir de uma infraestrutura legítima.
O abuso do Amazon SES representa um risco adicional significativo, pois pode afetar diretamente a reputação do domínio da organização, gerar bloqueios por provedores de e-mail e comprometer usuários finais.
Esse comportamento evidencia que ataques de cryptojacking na AWS podem servir como porta de entrada para ameaças mais amplas, exigindo uma resposta que vá além do controle de custos.
Como proteger sua conta AWS um guia de mitigação essencial
A mitigação desse tipo de ataque exige uma abordagem estruturada e contínua, combinando boas práticas de identidade, monitoramento e segurança de workloads.
Implemente credenciais temporárias
Evite o uso de chaves de acesso permanentes sempre que possível. Priorize credenciais temporárias por meio do AWS STS e roles IAM, reduzindo drasticamente o impacto de um eventual vazamento.
MFA e princípio do menor privilégio são obrigatórios
A autenticação multifator deve ser aplicada a todos os usuários sensíveis, e o princípio do menor privilégio (PoLP) precisa ser seguido com rigor. Permissões excessivas são o principal facilitador desse tipo de ataque.
Monitore continuamente com CloudTrail e GuardDuty
O AWS CloudTrail deve estar ativo em todas as regiões, com logs centralizados e monitorados. O Amazon GuardDuty é essencial para detectar comportamentos anômalos, como criação incomum de recursos, uso indevido do ECS e chamadas suspeitas de API.
Reforce a segurança de contêineres
Implemente controles sobre a origem das imagens, limite execuções a registros confiáveis e monitore workloads em tempo de execução. A visibilidade sobre tarefas no ECS Fargate é crucial para identificar padrões de mineração maliciosa.
Conclusão a evolução das ameaças na nuvem
Esta campanha evidencia como o cryptojacking em ambientes AWS evoluiu para explorar falhas sutis de configuração, serviços gerenciados e permissões mal definidas no IAM. Não se trata mais de ataques ruidosos, mas de operações persistentes, discretas e financeiramente eficientes.
Adotar uma postura de segurança proativa, alinhada a modelos como Zero Trust, tornou-se essencial para qualquer organização que opere na nuvem. Revisar permissões, validar o status do GuardDuty e reforçar políticas de menor privilégio devem ser ações imediatas.
A nuvem continua sendo um habilitador estratégico, mas apenas ambientes bem governados e monitorados conseguirão se proteger contra a próxima geração de ataques de mineração maliciosa em cloud.
