PyLoose: novo malware Linux extrai criptografia diretamente da memória

pyloose-novo-malware-linux-extrai-criptografia-diretamente-da-memoria
malware linux

O PyLoose, um novo malware Linux sem arquivo tem como alvo cargas de trabalho em nuvem para sequestrar seus recursos computacionais para mineração de criptomoeda Monero. Esse malware é um script Python relativamente simples com um minerador XMRig pré-compilado e codificado em base64, uma ferramenta de código aberto amplamente abusada que usa o poder da CPU para resolver algoritmos complexos necessários para a criptomineração.

Malware Linux PyLoose

De acordo com os pesquisadores da Wiz (Via: Bleeping Computer), a execução direta do PyLoose a partir da memória o torna incrivelmente furtivo e difícil de detectar por ferramentas de segurança. O malware sem arquivo não deixa pegada física nas unidades do sistema, portanto, é menos vulnerável à detecção baseada em assinatura e normalmente utiliza ferramentas de sistema legítimas para injetar código malicioso em processos legítimos.

De acordo com os pesquisadores de segurança da Wiz, eles detectaram pela primeira vez ataques PyLoose em estado selvagem em 22 de junho de 2023 e, desde então, confirmaram pelo menos 200 casos de comprometimento pelo novo malware.

Até onde sabemos, este é o primeiro ataque sem arquivo baseado em Python publicamente documentado direcionado a cargas de trabalho em nuvem, e nossas evidências mostram cerca de 200 instâncias em que esse ataque foi usado para criptomineração.

Cadeia de ataque PyLoose

De acordo com o observado pelos pesquisadores da Wiz, os ataques desse malware começaram obtendo acesso inicial a dispositivos por meio de serviços Jupyter Notebook acessíveis ao público, que falharam em restringir os comandos do sistema.

Segundo eles, o invasor usa uma solicitação HTTPS GET para buscar a carga útil sem arquivo (PyLoose) de um site semelhante ao Pastebin, “paste.c-net.org”, e carregá-la diretamente na memória de tempo de execução do Python. O script PyLoose é decodificado e descompactado, carregando um minerador XMRig pré-compilado diretamente na memória da instância usando o utilitário “memfd” do Linux.

pyloose-novo-malware-linux-extrai-criptografia-diretamente-da-memoria
Imagem: Reprodução | Bleeping Computer

O descritor de arquivo de memória, memfd, é um recurso do Linux que permite a criação de objetos de arquivo anônimos com backup em memória que podem ser usados ??para várias finalidades, como comunicação entre processos ou armazenamento temporário.

Uma vez que a carga é colocada dentro de uma seção de memória criada via memfd, os invasores podem invocar um dos exec syscalls nesse conteúdo de memória, tratando-o como se fosse um arquivo normal no disco e, assim, iniciar um novo processo.

Isso permite que os invasores executem a carga útil diretamente da memória, evitando as soluções de segurança mais tradicionais.O minerador XMRig carregado na memória da instância de nuvem comprometida é uma versão bastante recente (v6.19.3) que usa o pool de mineração ‘MoneroOcean’ para minerar Monero.

Infelizmente, o Wiz não pôde atribuir os ataques PyLoose a nenhum ator de ameaça em particular, pois o invasor não deixou nenhuma evidência útil para trás.

Acesse a versão completa
Sair da versão mobile