Cryptominer Scarleteel: la nuova versione è ancora più pericolosa

Il cryptominer Scarleteel non è di certo una novità nel contesto della cybersecurity. Il malware in questione, infatti, è stato individuato dalla società di sicurezza informatica Sysdig già lo scorso febbario. A preoccupare, e non poco, gli esperti del settore è però la sua imprevedibile evoluzione.

Dopo una prima fase in cui Scarleteel agiva minando criptovalute all’insaputa delle vittime, infatti, la sua seconda versione si è dimostrata pericolosa anche sotto altri punti di vista. Allo stato attuale, l’agente malevolo sembra prediligere ambienti cloud (come AWS Fargate e Kubernetes), con tattiche e strumenti più resilienti e con una maggiore elusività rispetto al passato.

Nel suo recente rapporto, Sysdig ha infatti commentato come “La combinazione di automazione e revisione manuale dei dati raccolti rende questo aggressore una minaccia più pericolosa. Non è solo un fastidioso malware, come spesso si pensa a un criptominer, poiché stanno esaminando quanto più possibile dell’ambiente infettato“.

Scarleteel non si accontenta più di minare criptovalute ma è in grado di rubare dati sensibili dalle piattaforme compromesse

A favorire la diffusione di Scarleteel sarebbe stato un piccolo errore nelle politiche di AWS, sfruttato per aumentare i privilegi d’accesso dell’amministratore. Attraverso questo trucco, è stato colpito anche Kubernetes.

“Il cliente ha commesso un errore che ha consentito agli aggressori di aggirare una delle loro politiche a causa di un errore di battitura di un singolo carattere“, ha affermato Alessandro Brucato, ingegnere di ricerca sulle minacce presso Sysdig.

Jimmy Mesta, Chief Technology Officer presso Kubernetes Security Operations Center, ha invece aggiunto come “L’obiettivo di Scarleteel è ottenere persistenza in un carico di lavoro Kubernetes vulnerabile al fine di elevare i privilegi del cloud e, in ultima analisi, causare danni finanziari attraverso il crypto-jacking e il furto di proprietà intellettuale“.

Qualcosa che, dunque, va bene il minare criptovalute tramite sistemi altrui. Ciò dimostra come i malware moderni siano capaci di evolversi in maniera imprevedibile.