As atividades realizadas na nuvem são o principal alvo de um novo malware sem arquivo chamado PyLoose. Ele sequestra recursos computacionais para mineração de criptomoeda Monero. O malware PyLoose Linux extrai criptografia diretamente da memória, segundo os especialistas em segurança.
O PyLoose é um script Python relativamente simples com um minerador XMRig pré-compilado e codificado em base64, uma ferramenta de código aberto amplamente abusada que usa o poder da CPU para resolver algoritmos complexos necessários para a criptomineração.
De acordo com os pesquisadores da Wiz, a execução direta do PyLoose a partir da memória o torna incrivelmente furtivo e difícil de detectar por ferramentas de segurança.
Malware PyLoose Linux extrai criptografia diretamente da memória
O malware sem arquivo não deixa pegada física nas unidades do sistema, portanto, é menos vulnerável à detecção baseada em assinatura e normalmente utiliza ferramentas de sistema legítimas (que vivem fora da terra) para injetar código malicioso em processos legítimos.
Os pesquisadores de segurança da Wiz detectaram pela primeira vez ataques PyLoose em estado selvagem em 22 de junho de 2023 e, desde então, confirmaram pelo menos 200 casos de comprometimento pelo novo malware.
“Até onde sabemos, este é o primeiro ataque sem arquivo baseado em Python publicamente documentado direcionado a cargas de trabalho em nuvem, e nossas evidências mostram cerca de 200 instâncias em que esse ataque foi usado para criptomineração”, explica o novo relatório do Wiz.
Cadeia de ataque PyLoose
Wiz observou ataques que começaram obtendo acesso inicial a dispositivos por meio de serviços Jupyter Notebook acessíveis ao público, que falharam em restringir os comandos do sistema.
O invasor usa uma solicitação HTTPS GET para buscar a carga útil sem arquivo (PyLoose) de um site semelhante ao Pastebin, “paste.c-net.org”, e carregá-la diretamente na memória de tempo de execução do Python.
O script PyLoose é decodificado e descompactado, carregando um minerador XMRig pré-compilado diretamente na memória da instância usando o utilitário “memfd” do Linux, uma técnica conhecida de malware sem arquivo no Linux.
“O descritor de arquivo de memória, memfd, é um recurso do Linux que permite a criação de objetos de arquivo anônimos com backup em memória que podem ser usados ??para várias finalidades, como comunicação entre processos ou armazenamento temporário”, explica Wiz no relatório.
“Uma vez que a carga é colocada dentro de uma seção de memória criada via memfd, os invasores podem invocar um dos exec syscalls nesse conteúdo de memória, tratando-o como se fosse um arquivo regular no disco e, assim, iniciar um novo processo”.
Isso permite que os invasores executem a carga útil diretamente da memória, evitando as soluções de segurança mais tradicionais.
O minerador XMRig carregado na memória da instância de nuvem comprometida é uma versão bastante recente (v6.19.3) que usa o pool de mineração ‘MoneroOcean’ para minerar Monero.
Agentes de ameaças desconhecidos
Wiz não pôde atribuir os ataques PyLoose a nenhum ator de ameaça em particular, pois o invasor não deixou nenhuma evidência útil para trás.
Os pesquisadores comentam que o adversário por trás do PyLoose parece altamente sofisticado e se destaca dos agentes de ameaças típicos envolvidos em ataques de carga de trabalho na nuvem.
Recomenda-se que os administradores de instâncias em nuvem evitem a exposição pública de serviços suscetíveis à execução de código, usem senhas fortes e autenticação multifator para proteger o acesso a esses serviços e coloquem restrições de execução de comandos do sistema.