Malware de mineração na Plataforma da Amazon encontrado escondido!

85 / 100 SEO Score

Malware de mineração na Plataforma da Amazon

Uma empresa de segurança cibernética afirmou recentemente que descobriu malware de mineração na Plataforma da Amazon encontrou escondido em um exemplo virtualizado oferecido através de um mercado comunitário da Amazon Web Services (AWS). Você deveria se preocupar? A resposta é um SIM maiúsculo!

Malware de mineração na Plataforma da Amazon – e agora?

Incidentes do chamado “cryptojacking” têm sido relatados há anos, referindo-se às inúmeras maneiras pelas quais o código clandestino, tipicamente para a criptomoeda Monero (XMR), é usado para infectar computadores com o propósito de criar hashpower. No final do mês passado, por exemplo, um grupo de pesquisadores da Cisco Talos revelou detalhes de uma botnet de cryptojacking descoberta em março com vítimas espalhadas pela América do Norte, Ásia e América do Sul.

O aviso de vulnerabilidade publicado pela Mitiga destacou o código malicioso descoberto em uma Instância de Máquina da Amazon (AMI) disponível no AWS Marketplace. O AWS Marketplace permite a venda e a oferta de muitos tipos diferentes de serviços e aplicativos virtualizados, incluindo sistemas operacionais.

O mercado é preenchido por fornecedores confiáveis que são certificados pela AWS, mas qualquer usuário da AWS pode criar uma AMI e disponibilizá-la publicamente para aqueles que usam o serviço também. É em uma dessas chamadas ofertas comunitárias que a Mitiga disse que descobriu o código malicioso.

“Em um recente engajamento do cliente com uma instituição financeira, fomos solicitados a avaliar a resiliência em nuvem de seu ambiente, a fim de estar melhor preparados para um possível incidente. Como parte de nossa avaliação do ambiente AWS da organização contra um banco de cenários de ataque, descobrimos um minerador de criptomoedas ativo em um dos servidores EC2 da empresa”, explicou a Mitiga em seu aviso. “O minerador de criptomoedas não se encontrou lá por meio de uma exploração ou desconfiguração – pelo contrário, estava lá o tempo todo, cortesia da AMI que foi usada para criar a instância EC2 em que estava correndo desde o get-go.”

De acordo com capturas de tela compartilhadas com o The Block, a AMI — uma oferta do Windows Server 2008 — continha código para o NsCpuCNMiner64, um tipo conhecido de malware de Trojan que secretamente usa o poder de processamento de um computador para minerar.

Malware de mineração na Plataforma da Amazon

Malware de mineração na Plataforma da Amazon

Mitiga disse ao The Block que entrou em contato com a Amazon sobre o assunto, mas até ontem não havia recebido uma resposta. A assessoria de imprensa da AWS NÃO respondeu a um pedido de comentário enviado por e-mail.

No entanto, em sua documentação in loco, a AWS observa que o uso de tais AMIs comunitárias têm seus próprios riscos. “A Amazon não pode atestar a integridade ou a segurança dos AMIs compartilhados por outros usuários do Amazon EC2. Portanto, você deve tratar amis compartilhados como se fosse qualquer código estrangeiro que você possa considerar implantar em seu próprio data center e realizar a devida diligência. Recomendamos que você obtenha uma AMI de uma fonte confiável”, explica o serviço.

Falando ao The Block, Ofer Maor, co-fundador e CTO da Mitiga, disse que a AMI foi o único exemplo descoberto neste momento, mas ressaltou que “existem milhares e milhares de AMIs comunitárias e não há detalhes sobre os valores de download, quem os publicou etc. Você vê como essa coisa é problemática?”

“Nossa opinião profissional é emitir um aviso de segurança porque achamos que o risco é tão alto”, continuou Maor.

No aviso, a Mitiga alertou que o Trojan oculto destaca o risco de usar AMIs comunitárias não verificadas e recomenda o uso daqueles oferecidos por fontes confiáveis

“Por precaução, se você estiver utilizando tal IAM da Comunidade, recomendamos verificar ou encerrar essas instâncias e buscar AMIs de fontes confiáveis.”

Achou o artigo útil? Compartilhe nas suas redes sociais e espalhe conhecimento. Hospedem de site, com 25% de desconto, use agora mesmo o nosso cupom obrigado25% e assine em nosso site.

Fonte do artigo: “The Block

Fechar Menu
shares