Denonia Malware

Un malware intrusivo chiamato Denonia viene utilizzato in operazioni minacciose che prendono di mira le installazioni Lambda di Amazon Web Services (AWS). Finora, l'obiettivo degli aggressori sembra essere motivato finanziariamente, con Denonia che è il dispiegamento di una versione XMRig personalizzata. XMRig è un popolare cryptominer spesso utilizzato dai criminali informatici per dirottare le risorse hardware del dispositivo violato per estrarre la criptovaluta Monero.

Dopo aver analizzato la minaccia, i ricercatori hanno scoperto che, nonostante avesse il nome di file python, Denonia è stata creata utilizzando il linguaggio di programmazione Go. Il malware viene eliminato come eseguibile ELF a 64 bit e si basa su diverse librerie GitHub di terze parti per eseguire le sue azioni dannose. Alcune delle librerie necessarie riguardano la scrittura di funzioni Lambda e l'estrazione di dati dalle richieste di chiamata Lambda. Lambda stesso è un popolare servizio di computer serverless basato su eventi offerto da Amazon.

I ricercatori ipotizzano che l'uso curioso di DNS over HTTPS (DOH) da parte di Denonia ottenuto tramite la libreria doh-go sia stato implementato come contromisura per impedire ad AWS di rilevare le ricerche della minaccia a causa dei suoi domini non sicuri. Al momento, non è stata trovata alcuna prova conclusiva che indichi l'esatto vettore di infezione utilizzato negli attacchi che coinvolgono il malware Denonia.