AlienFox: un malware modular que roba credenciales de la nube
Según SentinelLabs, hay un nuevo conjunto de herramientas llamado AlienFox que los atacantes utilizan para recopilar credenciales para varios proveedores de servicios en la nube, incluidos AWS SES y Microsoft Office 365.
Este conjunto de herramientas modular se distribuye principalmente en Telegram en forma de archivos de código fuente, con algunos módulos disponibles en GitHub para que los utilicen los atacantes potenciales. La tendencia de atacar servicios en la nube más pequeños que no son adecuados para la criptominería va en aumento, ya que AlienFox habilita y amplía las campañas posteriores. AlienFox ha evolucionado regularmente, con características recurrentes que sugieren que los desarrolladores se están volviendo cada vez más sofisticados.
Los actores utilizan AlienFox para extraer información, como claves y secretos API, de los archivos de configuración que están expuestos en los servidores web de las víctimas. Las últimas versiones de AlienFox incluyen scripts que automatizan acciones maliciosas utilizando credenciales robadas, como establecer la persistencia de la cuenta de AWS y la escalada de privilegios, y recopilar cuotas de envío y automatizar campañas de spam utilizando cuentas o servicios de víctimas.
AlienFox está diseñado para apuntar a una variedad de servicios web, pero se enfoca principalmente en servicios de alojamiento de correo electrónico basados en la nube y software como servicio (SaaS). Los actores son oportunistas y dependen de configuraciones incorrectas del servidor asociadas con marcos web populares como Laravel, Drupal, Joomla, Magento, Opencart, Prestashop y WordPress. Los conjuntos de herramientas contienen secuencias de comandos que verifican estos servicios, y los archivos de "objetivo" se generan mediante una secuencia de comandos independiente que utiliza fuerza bruta para direcciones IP y subredes, así como API web para plataformas de inteligencia de código abierto.
Cuando se identifica un servidor vulnerable, los actores extraen información confidencial del entorno expuesto o de los archivos de configuración, incluidos los servicios habilitados y las claves y secretos de API asociados.
AlienFox sigue evolucionando
SentinelOne ha descubierto tres versiones diferentes de AlienFox que datan de febrero de 2022, y algunos de los scripts encontrados han sido clasificados como familias de malware por otros investigadores, como Androxgh0st de Lacework. El hecho de que todos los conjuntos de herramientas de orientación SES analizados por SentinelOne se centren en servidores que utilizan el marco PHP de Laravel podría implicar que Laravel es particularmente vulnerable a configuraciones incorrectas o exposiciones.
AlienFox v4 está estructurado de manera diferente a las otras versiones, y cada herramienta recibe un identificador numérico como Tool1 y Tool2. Se han agregado algunas herramientas nuevas que sugieren que los desarrolladores están buscando nuevos usuarios o ampliando las capacidades de los conjuntos de herramientas existentes. Por ejemplo, una nueva herramienta verifica si las direcciones de correo electrónico están vinculadas a las cuentas minoristas de Amazon y crea una nueva cuenta de Amazon con la dirección de correo electrónico si no hay una. Otra herramienta automatiza la generación de semillas de billetera de criptomonedas para Bitcoin y Ethereum.
Debido a su continuo desarrollo, es probable que AlienFox se siga utilizando durante mucho tiempo.
