Denonia Malware

Un program malware intruziv numit Denonia este utilizat în operațiuni de amenințare care vizează instalațiile Lambda Amazon Web Services (AWS). Până acum, obiectivul atacatorilor pare să fie motivat financiar, Denonia fiind implementarea unei versiuni personalizate XMRig . XMRig este un cripto-miner popular folosit adesea de infractorii cibernetici pentru a deturna resursele hardware ale dispozitivului spart pentru a le mina pentru criptomoneda Monero.

După ce au analizat amenințarea, cercetătorii au descoperit că, în ciuda numelui de fișier python, Denonia a fost creat folosind limbajul de programare Go. Malware-ul este eliminat ca executabil ELF pe 64 de biți și se bazează pe mai multe biblioteci GitHub terță parte pentru a-și executa acțiunile dăunătoare. Unele dintre bibliotecile necesare se referă la scrierea funcțiilor Lambda și la extragerea datelor din cererile de invocare Lambda. Lambda în sine este un serviciu popular de computer fără server, bazat pe evenimente, oferit de Amazon.

Cercetătorii speculează că utilizarea curioasă de către Denonia a DNS peste HTTPS (DOH) realizată prin intermediul bibliotecii doh-go a fost implementată ca o contramăsură pentru a împiedica AWS să detecteze căutările amenințării din cauza domeniilor sale nesigure. Momentan, nu au fost găsite dovezi concludente care să indice vectorul exact de infecție utilizat în atacurile care implică malware Denonia.