Nova ferramenta AlienFox rouba credenciais de 18 serviços em nuvem
30 de Março de 2023

Um novo conjunto de ferramentas modulares chamado 'AlienFox' permite que atores de ameaças escaneiem servidores mal configurados para roubar segredos de autenticação e credenciais de serviços de e-mail baseados em nuvem.

O conjunto de ferramentas é vendido para cibercriminosos por meio de um canal privado do Telegram, que se tornou um funil típico para transações entre autores de malware e hackers.

Pesquisadores da SentinelLabs, que analisaram o AlienFox, relatam que o conjunto de ferramentas visa a configurações incorretas comuns em serviços populares como estruturas de hospedagem online, como Laravel, Drupal, Joomla, Magento, Opencart, Prestashop e WordPress.

Os analistas identificaram três versões do AlienFox, indicando que o autor do conjunto de ferramentas está ativamente desenvolvendo e melhorando a ferramenta maliciosa.

O AlienFox é um conjunto de ferramentas modulares que inclui várias ferramentas personalizadas e utilitários de código aberto modificados criados por diferentes autores.

Atores de ameaças usam o AlienFox para coletar listas de endpoints em nuvem mal configurados de plataformas de varredura de segurança como LeakIX e SecurityTrails.

Em seguida, o AlienFox usa scripts de extração de dados para procurar nos servidores mal configurados arquivos de configuração sensíveis comumente usados para armazenar segredos, como chaves de API, credenciais de conta e tokens de autenticação.

Os segredos visados são para plataformas de e-mail baseadas em nuvem, incluindo 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra e Zoho.

O conjunto de ferramentas também inclui scripts separados para estabelecer persistência e aumentar privilégios em servidores vulneráveis.

A SentinelLabs relata que a versão mais antiga encontrada é o AlienFox v2, que se concentra na configuração do servidor web e na extração de arquivos de ambiente.

Em seguida, o malware analisa os arquivos em busca de credenciais e as testa no servidor alvo, tentando SSH usando a biblioteca Python Paramiko.

O AlienFox v2 também contém um script (awses.py) que automatiza o envio e recebimento de mensagens no AWS SES (Simple Email Services) e aplica persistência de privilégios elevados à conta AWS do ator da ameaça.

Finalmente, a segunda versão do AlienFox apresenta uma exploração para CVE-2022-31279, uma vulnerabilidade de desserialização no Framework PHP Laravel.

O AlienFox v3 trouxe uma extração automatizada de chave e segredo dos ambientes Laravel, enquanto os dados roubados agora apresentavam tags que indicavam o método de colheita usado.

Mais notavelmente, a terceira versão do kit introduziu melhor desempenho, agora apresentando variáveis de inicialização, classes Python com funções modulares e segmentação de processo.

A versão mais recente do AlienFox é a v4, que apresenta melhor organização de código e scripts e expansão do escopo de segmentação.

Mais especificamente, a quarta versão do malware adicionou segmentação para WordPress, Joomla, Drupal, Prestashop, Magento e Opencart, um verificador de conta do site de varejo Amazon e um quebrador de 'seed' de carteira de criptomoeda automatizado para Bitcoin e Ethereum.

Os novos scripts de "quebra de carteira" indicam que o desenvolvedor do AlienFox deseja expandir a clientela para o conjunto de ferramentas ou enriquecer suas capacidades para renovações de assinatura seguras de clientes existentes.

Para se proteger contra essa ameaça em constante evolução, os administradores devem garantir que a configuração do servidor esteja definida com os controles de acesso adequados, permissões de arquivo e remoção de serviços desnecessários.

Além disso, a implementação de MFA (autenticação de vários fatores) e a monitoração de qualquer atividade incomum ou suspeita nas contas podem ajudar a interromper intrusões precocemente.

Publicidade

Já viu o Cyberpunk Guide?

Imagine voltar ao tempo dos e-zines e poder desfrutar de uma boa revista contendo as últimas novidades, mas na pegada hacking old school.
Acesse gratuitamente o Cyberpunk Guide e fique por dentro dos mais modernos dispositivos usados pelos hackers. Saiba mais...