Uma versão atualizada do malware de commodities chamado Legion vem com recursos expandidos para comprometer servidores SSH e credenciais do Amazon Web Services (AWS) associadas ao DynamoDB e CloudWatch.
"Esta atualização recente demonstra uma ampliação de escopo, com novas capacidades, como a capacidade de comprometer servidores SSH e recuperar credenciais específicas da AWS adicionais de aplicativos da web Laravel", disse o pesquisador da Cado Labs, Matt Muir, em um relatório compartilhado com o The Hacker News.
"Está claro que o foco do desenvolvedor em serviços em nuvem está avançando a cada iteração."
Legion, uma ferramenta de hack baseada em Python, foi documentada pela primeira vez no mês passado pela empresa de segurança em nuvem, detalhando sua capacidade de violar servidores SMTP vulneráveis para colher credenciais.
Também é conhecido por explorar servidores web que executam sistemas de gerenciamento de conteúdo (CMS), alavancar o Telegram como ponto de exfiltração de dados e enviar mensagens SMS de spam para uma lista de números de celular dos EUA gerados dinamicamente usando as credenciais SMTP roubadas.
Uma adição notável ao Legion é sua capacidade de explorar servidores SSH usando o módulo Paramiko.
Ele também inclui recursos para recuperar credenciais específicas da AWS relacionadas ao DynamoDB, CloudWatch e AWS Owl de aplicativos da web Laravel.
Outra mudança diz respeito à inclusão de caminhos adicionais para enumerar a existência de arquivos .env, como /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env e /web/.env, entre outros.
"As configurações incorretas em aplicativos da web ainda são o principal método usado pelo Legion para recuperar credenciais", disse Muir.
"Portanto, é recomendável que os desenvolvedores e administradores de aplicativos da web revisem regularmente o acesso a recursos dentro dos próprios aplicativos e busquem alternativas para armazenar segredos em arquivos de ambiente".
Publicidade
Aprenda a criar dispositivos incríveis com o especialista Júlio Della Flora. Tenha acesso a aulas prática que te ensinarão o que há de mais moderno em gadgets de hacking e pentest. Se prepare para o mercado de pentest físico e de sistemas embarcados através da certificação SYH2. Saiba mais...