Denonia Malware

Una pieza de malware intrusivo llamado Denonia se está utilizando en operaciones amenazantes dirigidas a las instalaciones Lambda de Amazon Web Services (AWS). Hasta ahora, el objetivo de los atacantes parece tener una motivación financiera, siendo Denonia el despliegue de una versión personalizada de XMRig. XMRig es un criptominero popular que los ciberdelincuentes suelen utilizar para secuestrar los recursos de hardware del dispositivo violado para minar la criptomoneda Monero.

Después de analizar la amenaza, los investigadores descubrieron que, a pesar de tener el nombre de archivo python, Denonia se creó utilizando el lenguaje de programación Go. El malware se elimina como un ejecutable ELF de 64 bits y se basa en varias bibliotecas de GitHub de terceros para ejecutar sus acciones dañinas. Algunas de las bibliotecas necesarias se refieren a la escritura de funciones de Lambda y la extracción de datos de las solicitudes de invocación de Lambda. Lambda en sí es un popular servicio informático basado en eventos y sin servidor ofrecido por Amazon.

Los investigadores especulan que el uso curioso de DNS sobre HTTPS (DOH) de Denonia logrado a través de la biblioteca doh-go se implementó como una contramedida para evitar que AWS detectara las búsquedas de la amenaza debido a sus dominios inseguros. Por el momento, no se han encontrado pruebas concluyentes que indiquen el vector de infección exacto utilizado en los ataques que involucran al malware Denonia.