Forscher des Sicherheitsunternehmens Wiz haben am 22. Juni 2023 eine neue Malware identifiziert, die Cloud-Workloads ausnutzt, um Kryptowährungen zu schürfen. Das zugrundeliegende Schadprogramm PyLoose, ein einfaches Python-Skript mit vorprogrammiertem XMRig-Miner, wird verwendet, um die virtuelle Währung Monero zu generieren.
Der XMRig-Miner ist ein weit verbreitetes Open-Source-Tool, das CPU-Ressourcen nutzt, um komplexe Algorithmen im Kontext des Krypto-Minings zu lösen. Es ist base64-kodiert in PyLoose eingebettet und liegt in einer relativ aktuellen Version vor, die den Mining-Pool „MoneroOcean“ verwendet.
PyLoose erweist sich als besonders tückisch: Als dateibasierte Malware agiert sie direkt aus dem Speicher heraus und hinterlässt keine Spuren auf den Systemlaufwerken. Das macht die Malware schwer auffindbar und schützt sie vor signaturbasierten Erkennungssystemen. Eingebettet in reguläre Systemprozesse nutzt PyLoose legitime Systemwerkzeuge, um seinen Schadcode auszuführen.
Bislang konnten die Wiz-Experten mindestens 200 bestätigte Kompromittierungen durch diese Malware aufdecken. Die Angriffe beginnen typischerweise mit dem Zugriff auf Systeme über öffentlich zugängliche Jupyter Notebook-Dienste, die keine Einschränkungen für Systembefehle aufweisen.
Um den Schadcode zu implementieren, greifen die Angreifer über eine HTTPS GET-Anfrage auf eine Pastebin-ähnliche Website zu, von der sie PyLoose abrufen und direkt in den Speicher von Python laden.
Trotz intensiver Untersuchungen konnten die Wiz-Forscher die Angriffe bisher keinem Angreifer zuordnen, da die Angreifer kaum verwertbare Spuren hinterlassen.
Die Sicherheitsexperten raten Administratoren von Cloud-Instanzen zu erhöhter Wachsamkeit: Sie sollten auf die Nutzung von öffentlichen Diensten verzichten, die anfällig für die Ausführung von Code sind, und auf starke Passwörter, mehrstufige Authentifizierung sowie strikte Einschränkungen für die Ausführung von Systembefehlen setzen.
