
Un nouveau malware sans fichier nommé PyLoose cible les charges de travail cloud pour détourner leurs ressources de calcul pour l’extraction de crypto-monnaie Monero.
PyLoose est un script Python relativement simple avec un mineur XMRig précompilé et encodé en base64, un outil open source largement abusé qui utilise la puissance du processeur pour résoudre les algorithmes complexes nécessaires au cryptominage.
Selon les chercheurs de Wiz, l’exécution directe de PyLoose à partir de la mémoire le rend incroyablement furtif et difficile à détecter par les outils de sécurité.
Les logiciels malveillants sans fichier ne laissent aucune empreinte physique sur les disques du système, ils sont donc moins vulnérables à la détection basée sur les signatures et utilisent généralement des outils système légitimes (vivant de la terre) pour injecter du code malveillant dans des processus légitimes.
Les chercheurs en sécurité de Wiz ont détecté pour la première fois des attaques PyLoose dans la nature le 22 juin 2023 et ont depuis confirmé au moins 200 cas de compromission par le nouveau malware.
« Pour autant que nous sachions, il s’agit de la première attaque sans fichier publiquement documentée basée sur Python ciblant des charges de travail cloud dans la nature, et nos preuves montrent près de 200 cas où cette attaque a été utilisée pour le minage de cryptomonnaies », explique le nouveau rapport Wiz.
Chaîne d’attaque PyLoose
Wiz a observé des attaques qui ont commencé par obtenir un accès initial aux appareils via les services Jupyter Notebook accessibles au public, qui n’ont pas réussi à restreindre les commandes système.
L’attaquant utilise une requête HTTPS GET pour récupérer la charge utile sans fichier (PyLoose) d’un site de type Pastebin, « paste.c-net.org », et la charger directement dans la mémoire d’exécution de Python.
Le script PyLoose est décodé et décompressé, chargeant un mineur XMRig précompilé directement dans la mémoire de l’instance à l’aide de l’utilitaire Linux « memfd », une technique de malware sans fichier connue sous Linux.

« Le descripteur de fichier mémoire, memfd, est une fonctionnalité Linux qui permet la création d’objets de fichiers anonymes sauvegardés en mémoire qui peuvent être utilisés à diverses fins, telles que la communication inter-processus ou le stockage temporaire », explique Wiz dans le rapport.
« Une fois que la charge utile est placée dans une section de mémoire créée via memfd, les attaquants peuvent invoquer l’un des appels système exec sur ce contenu de mémoire, le traiter comme s’il s’agissait d’un fichier normal sur le disque, et ainsi lancer un nouveau processus. »
Cela permet aux attaquants d’exécuter la charge utile directement à partir de la mémoire, en évitant la plupart des solutions de sécurité traditionnelles.
Le mineur XMRig chargé dans la mémoire de l’instance cloud compromise est une version assez récente (v6.19.3) qui utilise le pool de minage « MoneroOcean » pour miner Monero.
Menaces inconnues
Wiz n’a pas pu attribuer les attaques PyLoose à un acteur menaçant en particulier, car l’attaquant n’a laissé aucune preuve utile derrière lui.
Les chercheurs commentent que l’adversaire derrière PyLoose semble très sophistiqué et se démarque des acteurs de menace typiques qui se livrent à des attaques de charge de travail dans le cloud.
Il est recommandé aux administrateurs d’instances cloud d’éviter l’exposition publique des services susceptibles d’être exécutés par du code, d’utiliser des mots de passe forts et une authentification multifacteur pour protéger l’accès à ces services et d’imposer des restrictions d’exécution des commandes système.