Uma nova operação de criptojacking nativa da nuvem tem como alvo ofertas incomuns da Amazon Web Services (AWS). Entre os serviços alvos dessa operação estão: AWS Amplify, AWS Fargate e Amazon SageMaker. Os golpistas estão utilizando esses serviços para minerar criptomoedas ilicitamente.
Operação de Criptojacking da AMBERSQUID tem como alvos serviços incomuns da AWS
A atividade cibernética maliciosa recebeu o codinome AMBERSQUID pela empresa de segurança de nuvem e contêiner Sysdig. De acordo com o pesquisador de segurança da Sysdig, Alessandro Brucato, em um relatório compartilhado com o The Hacker News, “a operação AMBERSQUID foi capaz de explorar serviços em nuvem sem acionar o requisito da AWS para aprovação de mais recursos, como seria o caso se eles apenas enviassem spam para instâncias EC2”.
Almejar múltiplos serviços também apresenta desafios adicionais, como resposta a incidentes, uma vez que requer encontrar e matar todos os mineradores em cada serviço explorado.
A Sysdig disse que descobriu a campanha após uma análise de 1,7 milhão de imagens no Docker Hub, atribuindo-a com confiança moderada a invasores indonésios com base no uso da língua indonésia em scripts e nomes de usuário.
Notícias Relacionadas
Tecnologia móvel
Samsung destaca avanço nas mensagens RCS com suporte no iOS
O suporte a RCS chega ao iOS com o iOS 18.1, permitindo que usuários de Android e iPhone aproveitem uma experiência de mensagens aprimorada e sem necessidade de redes sociais.
Mercado elétrico
Xiaomi atinge R$ 7,14 bilhões em receita com veículos elétricos no 3º trimestre de 2024
Xiaomi fecha o 3º trimestre de 2024 com R$ 7,14 bilhões em receita com veículos elétricos, impulsionado pelo sucesso da série SU7, apesar do prejuízo operacional.
Algumas dessas imagens são projetadas para executar mineradores de criptomoedas baixados de repositórios GitHub controlados por atores, enquanto outras executam scripts de shell direcionados à AWS. Uma característica chave é o abuso do AWS CodeCommit, que é usado para hospedar repositórios Git privados, para “gerar um repositório privado que eles então usam em diferentes serviços como fonte”.
Operação de Criptojacking
O repositório contém o código-fonte de um aplicativo AWS Amplify que, por sua vez, é aproveitado por um script de shell para criar um aplicativo Web Amplify e, por fim, iniciar o minerador de criptomoedas. Além disso, os cibercriminosos também foram observados empregando scripts de shell para realizar cryptojacking em instâncias AWS Fargate e SageMaker, incorrendo em custos computacionais significativos para as vítimas.
A Sysdig estimou que o AMBERSQUID poderia resultar em perdas de mais de US$ 10.000 (cerca de R$ 48,5 mil) por dia se fosse dimensionado para atingir todas as regiões da AWS. Uma análise mais aprofundada dos endereços de carteira usados ??revela que os invasores obtiveram mais de US$ 18.300 (cerca de R$ 88,7 mil) em receitas até o momento.
Esta não é a primeira vez que agentes de ameaças indonésios são associados a campanhas de criptojacking. Em maio de 2023, o Permiso P0 Labs detalhou um ator chamado GUI-vil que foi detectado aproveitando instâncias Elastic Compute Cloud (EC2) da Amazon Web Services (AWS) para realizar operações de mineração de criptografia.
