Mitiga, uma empresa de prontidão e resposta a incidentes, descobriu que um produto disponível no Amazon Web Services Marketplace continha malware de mineração Monero. Mitiga publicou suas descobertas , observando que eles descobriram o malware ao conduzir uma auditoria de segurança para uma empresa de serviços financeiros.
“A equipe de pesquisa de segurança da Mitiga identificou um AWS Community AMI contendo código malicioso executando um minerador de criptomoeda Monero não identificado ”, de acordo com a postagem do blog do Mitiga. “Temos a preocupação de que isso possa ser um fenômeno, e não uma ocorrência isolada.”
Malware no AWS Marketplace
Infelizmente, o mercado AWS permite que qualquer pessoa venda serviços virtuais em seu mercado. Embora o mercado esteja cheio de fornecedores verificados, ele também contém ofertas de membros da comunidade não verificados.
Mitiga descobriu que um membro da comunidade estava vendendo um servidor virtual Windows 2008 que secretamente usava o poder de computação de qualquer um que o baixou para minerar o Monero em segundo plano. Embora possa ser uma surpresa que o malware de mineração Monero estivesse presente no AWS Marketplace da Amazon, a política da Amazon afirma claramente que:
“A Amazon não pode garantir a integridade ou segurança das AMIs compartilhadas por outros usuários do Amazon EC2. Portanto, você deve tratar AMIs compartilhados como faria com qualquer código estrangeiro que você possa considerar implantar em seu próprio data center e realizar a devida diligência adequada. Recomendamos que você obtenha um AMI de uma fonte confiável. ”
Reduzindo o vetor de ataque
Para evitar ser vítima de malware que pode residir nas ofertas da comunidade no mercado AWS, Mitiga recomenda “verificar ou encerrar essas instâncias [ofertas não verificadas] e buscar AMIs de fontes confiáveis”
“Como o uso do cliente da AWS é ofuscado, não podemos saber até que ponto esse fenômeno se estende sem a própria investigação da AWS”, disse Mitiga. “No entanto, acreditamos que o risco potencial é alto o suficiente para emitir um aviso de segurança para todos os clientes da AWS que usam Community AMIs.”
Traduzido e adaptado de: coingeek.com
