Los investigadores de Wiz Security documentaron un nuevo malware llamado PyLooseexplotando cargas de trabajo en la nube para extraer criptomonedas Monero.
PyLoose es un malware sin archivos ya que no deja rastro en la máquina explotada en ninguna parte. El actor de amenazas obtiene el malware de forma remota y se ejecuta directamente en la memoria de tiempo de ejecución de Python, lo que dificulta la detección de las herramientas de seguridad regulares. Se recomienda a los administradores de cargas de trabajo en la nube que estén atentos y protejan sus redes.
Sin dejar rastro de ataque
Un nuevo malware se encuentra en estado salvaje dirigido a cargas de trabajo en la nube expuestas, donde el actor de amenazas desconocido está explotando los recursos de la víctima para extraer criptomonedas Monero. Los investigadores de Wiz nombraron el nuevo malware PyLooseque se ejecuta en la memoria de tiempo de ejecución de Python para evitar la detección.
Los investigadores primero detectado PyLoose ataca en la naturaleza el 22 de junio de 2023, y notó al menos 200 casos de compromiso. Los actores de amenazas comienzan accediendo a los servicios de Jupyter Notebook disponibles públicamente, ya que no pueden restringir los comandos del sistema. Al encontrar el acceso inicial, el actor de amenazas luego emite una solicitud HTTPS GET para obtener la carga útil de Pastebin y ejecutarla directamente en la memoria de tiempo de ejecución de Python.
Los investigadores dijeron que los perpetradores usan Linux memoria herramienta para ejecutar la carga útil. Y como se carga directamente en la unidad de memoria del sistema, los atacantes no dejan ningún rastro. Como tal, los investigadores no pudieron atribuir este ataque a ningún actor de amenazas específico. Pero afirman que el equipo detrás de esto es sofisticado ya que apunta a instancias en la nube con ataques sin archivos.
Una vez cargado, el malware sin archivos utilizará los recursos de la víctima para extraer criptomonedas Monero para el actor de amenazas, que luego se transportará a la billetera del pirata informático. Como no hay mucha información identificable sobre este malware, los usuarios deben estar atentos a cualquier actividad sospechosa en sus sistemas.
Por lo tanto, se recomienda a los administradores del sistema de cualquier instancia en la nube que reduzcan la exposición pública de sus servicios si son susceptibles a la ejecución de código. Además, deben usar contraseñas seguras y autenticación multifactor para proteger el acceso a esos servicios y permitir restricciones de ejecución de comandos del sistema.
