Instâncias do Alibaba ECS direcionadas em nova campanha de cryptojacking

Hackers foram encontrados atacando instâncias do Alibaba Cloud Elastic Computing Service (ECS) para minerar a criptomoeda Monero em uma nova campanha de cryptojacking.

Pesquisadores de segurança da Trend Micro descobriram criminosos cibernéticos desabilitando recursos de segurança em instâncias de nuvem para que pudessem minerar criptomoedas.

As instâncias do ECS vêm com um agente de segurança pré-instalado que os hackers tentam desinstalá-lo após o comprometimento. Os pesquisadores disseram que um código específico no malware criou regras de firewall para descartar pacotes recebidos de intervalos de IP pertencentes a zonas e regiões internas do Alibaba.

Essas instâncias padrão do Alibaba ECS também fornecem acesso root. O problema aqui é que essas instâncias não possuem os diferentes níveis de privilégio encontrados em outros provedores de nuvem. Isso significa que os hackers que obtêm credenciais de login para acessar uma instância de destino podem fazê-lo via SSH sem montar uma escalada de ataque de privilégio de antemão.

“Nessa situação, o agente da ameaça tem o maior privilégio possível após o comprometimento, incluindo exploração de vulnerabilidades, qualquer problema de configuração incorreta, credenciais fracas ou vazamento de dados”, disseram os pesquisadores.

Isso permite que cargas úteis avançadas, como rootkits de módulo de kernel e alcance de persistência por meio de serviços de sistema em execução, sejam implantados. “Dado esse recurso, não é surpresa que vários agentes de ameaças tenham como alvo o Alibaba Cloud ECS simplesmente inserindo um trecho de código para remover software encontrado apenas no Alibaba ECS”, acrescentaram.

Os pesquisadores disseram que quando o malware de criptojacking está sendo executado no Alibaba ECS, o agente de segurança instalado enviará uma notificação de um script malicioso em execução. Cabe então ao usuário prevenir infecções em andamento e atividades maliciosas. Os pesquisadores disseram que é sempre responsabilidade do usuário evitar que essa infecção aconteça em primeiro lugar.

“Apesar da detecção, o agente de segurança não consegue limpar o comprometimento em execução e é desabilitado”, acrescentaram. “Olhar para outra amostra de malware mostra que o agente de segurança também foi desinstalado antes que pudesse acionar um alerta de comprometimento.”

Uma vez comprometido, o malware instala um XMRig para minerar o Monero.

Os pesquisadores disseram que é importante observar que o Alibaba ECS tem um recurso de escalonamento automático para ajustar automaticamente os recursos de computação com base no volume de solicitações do usuário. Isso significa que os hackers também podem aumentar a mineração de criptomoedas e com os usuários arcando com os custos.

“No momento em que o faturamento chega à organização ou usuário inconsciente, o criptominerador provavelmente já incorreu em custos adicionais. Além disso, os assinantes legítimos precisam remover manualmente a infecção para limpar a infraestrutura do comprometimento”, alertaram os pesquisadores.