Denonia Malware

Um malware intrusivo, chamado Denonia está sendo usado em operações ameaçadoras visando instalações Lambda da Amazon Web Services (AWS). Até agora, o objetivo dos invasores parece ter motivação financeira, com Denonia sendo a implantação de uma versão personalizada do XMRig. O XMRig é um popular minerador de cripto-moedas frequentemente usado por cibercriminosos para sequestrar os recursos de hardware do dispositivo violado para minerar a cripto-moeda Monero.

Após analisar a ameaça, os pesquisadores descobriram que, apesar de ter o nome de arquivo python, o Denonia foi criado usando a linguagem de programação Go. O malware é descartado como um executável ELF de 64 bits e depende de várias bibliotecas GitHub de terceiros para executar suas ações prejudiciais. Algumas das bibliotecas necessárias dizem respeito à gravação de funções do Lambda e à extração de dados de solicitações de invocação do Lambda. O próprio Lambda é um popular serviço de computador sem servidor e orientado a eventos oferecido pelo Amazon.

Os pesquisadores especulam que o curioso uso de DNS sobre o HTTPS (DOH) do Denonia, obtido por meio da biblioteca doh-go, foi implementado como uma contramedida para impedir que a AWS detectasse as pesquisas da ameaça devido a seus domínios inseguros. No momento, nenhuma evidência conclusiva apontando para o vetor de infecção exato usado nos ataques envolvendo o malware Denonia foi encontrada.