Se ha descubierto en la naturaleza el primer malware de su tipo dirigido a la plataforma informática sin servidor Lambda de Amazon Web Services (AWS).
Apodado «Denonia» por el nombre del dominio con el que se comunica, «el malware utiliza técnicas de resolución de direcciones más nuevas para el tráfico de comando y control para evadir las medidas de detección típicas y los controles de acceso a la red virtual», dijo Matt Muir, investigador de Cado Labs. dijo.
los artefacto analizado por la empresa de ciberseguridad se cargó en la base de datos de VirusTotal el 25 de febrero de 2022, con el nombre «python» y empaquetado como una versión de 64 bits DUENDE ejecutable.
Sin embargo, el nombre del archivo es inapropiado, ya que Denonia está programada en Go y alberga una variante personalizada del software de minería de criptomonedas XMRig. Dicho esto, se desconoce el modo de acceso inicial, aunque se sospecha que puede haber implicado el compromiso de AWS Access y Secret Keys.
Otra característica notable del malware es su uso de DNS sobre HTTPS (DoH) para comunicarse con su servidor de comando y control («gw.denonia[.]xyz») al ocultar el tráfico dentro de las consultas de DNS encriptadas.
Sin embargo, «python» no es la única muestra de Denonia descubierta hasta ahora, ya que Cado Labs encontró una segunda muestra (llamada «bc50541af8fe6239f0faa7c57a44d119.virus«) que se subió a VirusTotal el 3 de enero de 2022.
«Aunque esta primera muestra es bastante inocua en el sentido de que solo ejecuta software de criptominería, demuestra cómo los atacantes están utilizando conocimientos avanzados específicos de la nube para explotar la compleja infraestructura de la nube, y es indicativo de posibles ataques futuros más nefastos», dijo Muir.