Denonia Malware

Un logiciel malveillant intrusif nommé Denonia est utilisé dans des opérations menaçantes ciblant les installations Lambda d'Amazon Web Services (AWS). Jusqu'à présent, l'objectif des attaquants semble être motivé financièrement, Denonia étant le déploiement d'une version XMRig personnalisée. XMRig est un crypto-mineur populaire souvent utilisé par les cybercriminels pour détourner les ressources matérielles de l'appareil piraté afin d'extraire la crypto-monnaie Monero.

Après avoir analysé la menace, les chercheurs ont découvert que malgré le nom de fichier python, Denonia a été créé à l'aide du langage de programmation Go. Le malware est abandonné en tant qu'exécutable ELF 64 bits et s'appuie sur plusieurs bibliothèques GitHub tierces pour exécuter ses actions nuisibles. Certaines des bibliothèques nécessaires concernent l'écriture de fonctions Lambda et l'extraction de données à partir de demandes d'appel Lambda. Lambda lui-même est un service informatique populaire sans serveur et axé sur les événements proposé par Amazon.

Les chercheurs pensent que la curieuse utilisation par Denonia du DNS sur HTTPS (DOH) réalisée via la bibliothèque doh-go a été implémentée comme une contre-mesure pour empêcher AWS de détecter les recherches de la menace en raison de ses domaines dangereux. À l'heure actuelle, aucune preuve concluante indiquant le vecteur d'infection exact utilisé dans les attaques impliquant le logiciel malveillant Denonia n'a été trouvée.