AlienFox – eine modulare Malware, die Cloud-Anmeldeinformationen stiehlt

Laut SentinelLabs gibt es ein neues Toolset namens AlienFox, mit dem Angreifer Anmeldeinformationen für verschiedene Cloud-Service-Anbieter sammeln, darunter AWS SES und Microsoft Office 365.

Dieses modulare Toolset wird hauptsächlich auf Telegram in Form von Quellcodearchiven vertrieben, wobei einige Module auf GitHub für potenzielle Angreifer verfügbar sind. Der Trend, kleinere Cloud-Dienste anzugreifen, die nicht für Kryptomining geeignet sind, nimmt zu, da AlienFox Folgekampagnen ermöglicht und erweitert. AlienFox wurde regelmäßig weiterentwickelt, wobei wiederkehrende Funktionen darauf hindeuten, dass die Entwickler immer raffinierter werden.

Akteure verwenden AlienFox, um Informationen wie API-Schlüssel und Geheimnisse aus Konfigurationsdateien zu extrahieren, die auf den Webservern der Opfer offengelegt werden. Die neueren Versionen von AlienFox enthalten Skripte, die böswillige Aktionen unter Verwendung gestohlener Anmeldeinformationen automatisieren, wie z. B. die Einrichtung von AWS-Kontopersistenz und Privilegienausweitung, das Sammeln von Sendekontingenten und das Automatisieren von Spam-Kampagnen unter Verwendung von Opferkonten oder -diensten.

AlienFox wurde entwickelt, um auf eine Vielzahl von Webdiensten abzuzielen, konzentriert sich jedoch hauptsächlich auf Cloud-basierte und Software-as-a-Service (SaaS)-E-Mail-Hosting-Dienste. Die Akteure sind opportunistisch und verlassen sich auf Server-Fehlkonfigurationen im Zusammenhang mit gängigen Web-Frameworks wie Laravel, Drupal, Joomla, Magento, Opencart, Prestashop und WordPress. Die Toolsets enthalten Skripte, die nach diesen Diensten suchen, und die „Ziel“-Dateien werden von einem separaten Skript generiert, das Brute Force für IPs und Subnetze sowie Web-APIs für Open-Source-Intelligence-Plattformen verwendet.

Wenn ein anfälliger Server identifiziert wird, extrahieren die Akteure vertrauliche Informationen aus exponierten Umgebungs- oder Konfigurationsdateien, einschließlich aktivierter Dienste und zugehöriger API-Schlüssel und -Geheimnisse.

AlienFox entwickelt sich weiter

SentinelOne hat drei verschiedene Versionen von AlienFox entdeckt, die auf Februar 2022 zurückgehen, und einige der gefundenen Skripte wurden von anderen Forschern als Malware-Familien klassifiziert, wie etwa Androxgh0st von Lacework. Die Tatsache, dass sich alle von SentinelOne analysierten SES-Targeting-Toolsets auf Server konzentrieren, die das Laravel-PHP-Framework verwenden, könnte bedeuten, dass Laravel besonders anfällig für Fehlkonfigurationen oder Risiken ist.

AlienFox v4 ist anders aufgebaut als die anderen Versionen, wobei jedes Tool eine numerische Kennung wie Tool1 und Tool2 erhält. Einige neue Tools wurden hinzugefügt, die darauf hindeuten, dass die Entwickler nach neuen Benutzern suchen oder die Fähigkeiten bestehender Toolkits erweitern. Ein neues Tool prüft beispielsweise, ob E-Mail-Adressen mit Amazon-Einzelhandelskonten verknüpft sind, und erstellt ein neues Amazon-Konto mit der E-Mail-Adresse, falls noch keines vorhanden ist. Ein weiteres Tool automatisiert die Generierung von Kryptowährungs-Wallet-Seeds für Bitcoin und Ethereum.

Aufgrund der kontinuierlichen Weiterentwicklung ist davon auszugehen, dass AlienFox noch lange genutzt wird.