Um novo ataque fileless, batizado de PyLoose, foi observado atingindo cargas de trabalho na nuvem com o objetivo de entregar um minerador de criptomoedas, novas descobertas da Wiz revelam.
"O ataque consiste em um código Python que carrega um minerador XMRig diretamente na memória utilizando memfd, uma técnica Linux sem arquivo conhecida", disseram os pesquisadores de segurança Avigayil Mechtinger, Oren Ofer e Itamar Gilad.
"Este é o primeiro ataque sem arquivo baseado em Python documentado publicamente voltado para cargas de trabalho na nuvem na vida real."
A empresa de segurança em nuvem disse que encontrou quase 200 instâncias onde o método de ataque foi empregado para mineração de criptomoedas.
Nenhum outro detalhe sobre o ator da ameaça é conhecido atualmente, além do fato de que eles possuem capacidades sofisticadas.
Na cadeia de infecção documentada pela Wiz, o acesso inicial é alcançado através da exploração de um serviço Jupyter Notebook publicamente acessível que permitia a execução de comandos de sistema usando módulos Python.
O PyLoose, detectado pela primeira vez em 22 de junho de 2023, é um script Python com apenas nove linhas de código que incorpora um minerador XMRig pré-compilado, comprimido e codificado.
O payload é recuperado através de um domínio na memória do tempo de execução do Python por meio de uma solicitação HTTPS GET sem ter que gravar o arquivo no disco.
O código Python é projetado para decodificar e descomprimir o minerador XMRig e, em seguida, carregá-lo diretamente na memória via o descritor de arquivo de memória memfd, que é usado para acessar arquivos residentes na memória.
"O invasor fez grandes esforços para ser indetectável, usando um serviço de compartilhamento de dados aberto para hospedar a carga útil Python, adaptando a técnica de execução sem arquivo para Python e compilando um minerador XMRig para incorporar sua configuração para evitar tocar o disco ou usar uma linha de comando reveladora", disseram os pesquisadores.
O desenvolvimento acontece como Sysdig detalhou uma nova campanha de ataque montada por um ator de ameaça conhecido como SCARLETEEL que envolve o abuso da infraestrutura AWS para roubar dados proprietários e realizar mineração cripto ilícita.
Publicidade
Em 14 de janeiro a Solyd irá revolucionar a forma como pentest e hacking deve ser ensinado. Se inscreva para ser o primeiro a saber das novidades. Saiba mais...