Especialistas en ciberseguridad de Cado Security reportan la detección de una nueva variante de malware dirigida contra AWS Lambda. Según el reporte, el malware fue identificado como Denonia y ya ha sido vinculado a múltiples incidentes.
Como algunos usuarios recordarán, Lambda es un servicio informático escalable ofrecido por Amazon Web Services (AWS) para tareas de ejecución de código, mantenimiento de servidores y sistemas operativos, aprovisionamiento de capacidad, registro y operación de numerosos servicios de backend.
Según Cado Security, este servicio en la nube, utilizado por las PYMES y empresas de todo el mundo, ahora corre el riesgo de infectarse con la variedad de malware.
Este es un desarrollo completamente diferente al ransomware Lambda y se han encontrado muestras que, a pesar de tener el nombre de archivo python, están escritas en el lenguaje de programación Go. Durante el análisis, Denonia registró un error, “[_LAMBDA_SERVER_PORT AWS _LAMBDA_RUNTIME_API] no está definido”.
Esto llamó la atención de los investigadores, ya que estas variables de entorno son específicas de Lambda. Los expertos descubrieron que la muestra era un ejecutable ELF de 64 bits basado en bibliotecas de GitHub de terceros, incluidas aquellas para escribir funciones de Lambda.
Otro rasgo interesante es el uso de DNS sobre HTTPS (DoH) a través de la biblioteca doh-go, que el equipo cree que podría haberse implementado para evitar que AWS detecte búsquedas de dominios maliciosos. Aunque los investigadores no están seguros de qué vector de ataque están usando los actores de amenazas, se especula que podría ser una cuestión de usar scripts para obtener credenciales de acceso o claves secretas de configuraciones poco seguras.
El malware ejecuta una versión personalizada de XMRig, un software para el minado de la criptomoneda Monero que abusa de los recursos de las computadoras afectados. Esto sugiere que los objetivos del desarrollador podrían ser puramente financieros, con Denonia potencialmente proporcionando un medio para robar recursos informáticos para generar monedas vendibles.
Para conocer más sobre riesgos de seguridad informática, malware, vulnerabilidades y tecnologías de la información, no dude en ingresar al sitio web del Instituto Internacional de Seguridad Cibernética (IICS).
Trabajando como arquitecto de ciberseguridad, el se enfoca en protección de datos y la seguridad de datos empresariales. Antes de unirse a nosotros, ocupó varios puestos de investigador de ciberseguridad con diferentes empresas. También tiene experiencia en diferentes industrias como finanzas, salud medica y reconocimiento facial.