O PyLoose, um novo malware Linux sem arquivo tem como alvo cargas de trabalho em nuvem para sequestrar seus recursos computacionais para mineração de criptomoeda Monero. Esse malware é um script Python relativamente simples com um minerador XMRig pré-compilado e codificado em base64, uma ferramenta de código aberto amplamente abusada que usa o poder da CPU para resolver algoritmos complexos necessários para a criptomineração.
Malware Linux PyLoose
De acordo com os pesquisadores da Wiz (Via: Bleeping Computer), a execução direta do PyLoose a partir da memória o torna incrivelmente furtivo e difícil de detectar por ferramentas de segurança. O malware sem arquivo não deixa pegada física nas unidades do sistema, portanto, é menos vulnerável à detecção baseada em assinatura e normalmente utiliza ferramentas de sistema legítimas para injetar código malicioso em processos legítimos.
De acordo com os pesquisadores de segurança da Wiz, eles detectaram pela primeira vez ataques PyLoose em estado selvagem em 22 de junho de 2023 e, desde então, confirmaram pelo menos 200 casos de comprometimento pelo novo malware.
Até onde sabemos, este é o primeiro ataque sem arquivo baseado em Python publicamente documentado direcionado a cargas de trabalho em nuvem, e nossas evidências mostram cerca de 200 instâncias em que esse ataque foi usado para criptomineração.
Cadeia de ataque PyLoose
De acordo com o observado pelos pesquisadores da Wiz, os ataques desse malware começaram obtendo acesso inicial a dispositivos por meio de serviços Jupyter Notebook acessíveis ao público, que falharam em restringir os comandos do sistema.
Notícias Relacionadas
Malware GitHub
Campanha inteligente abusa de repositórios GitHub para enviar malware
Uma nova campanha de ameaças inteligente abusa de repositórios do GitHub para distribuir o malware de roubo de senhas chamado Lumma Stealer. A campanha visa usuários que frequentam um repositório de projeto de código aberto ou que estão inscritos para receber notificações por e-mail dele. Malware Lumma Stealer sendo distribuído via repositórios GitHub Um usuário […]
Desenvolvedores Python
Desenvolvedores Python estão sendo hackeados via teste de codificação de gerenciador de senhas falso
Membros Lazarus Group estão se passando por recrutadores, hackeando desenvolvedores Python com projetos de teste de codificação para produtos de gerenciamento de senhas que incluem malware. Desenvolvedores Python hackeados Os ataques de malwares fazem parte da ‘campanha VMConnect’ detectada pela primeira vez em agosto de 2023 (Via: Bleeping Computer), onde os cibercriminosos visavam desenvolvedores de […]
Segundo eles, o invasor usa uma solicitação HTTPS GET para buscar a carga útil sem arquivo (PyLoose) de um site semelhante ao Pastebin, “paste.c-net.org”, e carregá-la diretamente na memória de tempo de execução do Python. O script PyLoose é decodificado e descompactado, carregando um minerador XMRig pré-compilado diretamente na memória da instância usando o utilitário “memfd” do Linux.
O descritor de arquivo de memória, memfd, é um recurso do Linux que permite a criação de objetos de arquivo anônimos com backup em memória que podem ser usados ??para várias finalidades, como comunicação entre processos ou armazenamento temporário.
Uma vez que a carga é colocada dentro de uma seção de memória criada via memfd, os invasores podem invocar um dos exec syscalls nesse conteúdo de memória, tratando-o como se fosse um arquivo normal no disco e, assim, iniciar um novo processo.
Isso permite que os invasores executem a carga útil diretamente da memória, evitando as soluções de segurança mais tradicionais.O minerador XMRig carregado na memória da instância de nuvem comprometida é uma versão bastante recente (v6.19.3) que usa o pool de mineração ‘MoneroOcean’ para minerar Monero.
Infelizmente, o Wiz não pôde atribuir os ataques PyLoose a nenhum ator de ameaça em particular, pois o invasor não deixou nenhuma evidência útil para trás.
