Um novo conjunto de ferramentas modulares chamado 'AlienFox' permite que atores de ameaças escaneiem servidores mal configurados para roubar segredos de autenticação e credenciais de serviços de e-mail baseados em nuvem.
O conjunto de ferramentas é vendido para cibercriminosos por meio de um canal privado do Telegram, que se tornou um funil típico para transações entre autores de malware e hackers.
Pesquisadores da SentinelLabs, que analisaram o AlienFox, relatam que o conjunto de ferramentas visa a configurações incorretas comuns em serviços populares como estruturas de hospedagem online, como Laravel, Drupal, Joomla, Magento, Opencart, Prestashop e WordPress.
Os analistas identificaram três versões do AlienFox, indicando que o autor do conjunto de ferramentas está ativamente desenvolvendo e melhorando a ferramenta maliciosa.
O AlienFox é um conjunto de ferramentas modulares que inclui várias ferramentas personalizadas e utilitários de código aberto modificados criados por diferentes autores.
Atores de ameaças usam o AlienFox para coletar listas de endpoints em nuvem mal configurados de plataformas de varredura de segurança como LeakIX e SecurityTrails.
Em seguida, o AlienFox usa scripts de extração de dados para procurar nos servidores mal configurados arquivos de configuração sensíveis comumente usados para armazenar segredos, como chaves de API, credenciais de conta e tokens de autenticação.
Os segredos visados são para plataformas de e-mail baseadas em nuvem, incluindo 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra e Zoho.
O conjunto de ferramentas também inclui scripts separados para estabelecer persistência e aumentar privilégios em servidores vulneráveis.
A SentinelLabs relata que a versão mais antiga encontrada é o AlienFox v2, que se concentra na configuração do servidor web e na extração de arquivos de ambiente.
Em seguida, o malware analisa os arquivos em busca de credenciais e as testa no servidor alvo, tentando SSH usando a biblioteca Python Paramiko.
O AlienFox v2 também contém um script (awses.py) que automatiza o envio e recebimento de mensagens no AWS SES (Simple Email Services) e aplica persistência de privilégios elevados à conta AWS do ator da ameaça.
Finalmente, a segunda versão do AlienFox apresenta uma exploração para CVE-2022-31279, uma vulnerabilidade de desserialização no Framework PHP Laravel.
O AlienFox v3 trouxe uma extração automatizada de chave e segredo dos ambientes Laravel, enquanto os dados roubados agora apresentavam tags que indicavam o método de colheita usado.
Mais notavelmente, a terceira versão do kit introduziu melhor desempenho, agora apresentando variáveis de inicialização, classes Python com funções modulares e segmentação de processo.
A versão mais recente do AlienFox é a v4, que apresenta melhor organização de código e scripts e expansão do escopo de segmentação.
Mais especificamente, a quarta versão do malware adicionou segmentação para WordPress, Joomla, Drupal, Prestashop, Magento e Opencart, um verificador de conta do site de varejo Amazon e um quebrador de 'seed' de carteira de criptomoeda automatizado para Bitcoin e Ethereum.
Os novos scripts de "quebra de carteira" indicam que o desenvolvedor do AlienFox deseja expandir a clientela para o conjunto de ferramentas ou enriquecer suas capacidades para renovações de assinatura seguras de clientes existentes.
Para se proteger contra essa ameaça em constante evolução, os administradores devem garantir que a configuração do servidor esteja definida com os controles de acesso adequados, permissões de arquivo e remoção de serviços desnecessários.
Além disso, a implementação de MFA (autenticação de vários fatores) e a monitoração de qualquer atividade incomum ou suspeita nas contas podem ajudar a interromper intrusões precocemente.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...