AlienFox: un malware modulare che ruba le credenziali del cloud
Secondo SentinelLabs, esiste un nuovo set di strumenti chiamato AlienFox che gli aggressori utilizzano per raccogliere le credenziali per vari provider di servizi cloud, tra cui AWS SES e Microsoft Office 365.
Questo set di strumenti modulari è distribuito principalmente su Telegram sotto forma di archivi di codice sorgente, con alcuni moduli disponibili su GitHub che i potenziali aggressori possono utilizzare. La tendenza ad attaccare i servizi cloud più piccoli che non sono adatti al cryptomining è in aumento, poiché AlienFox abilita ed espande le campagne successive. AlienFox si è evoluto regolarmente, con funzionalità ricorrenti che suggeriscono che gli sviluppatori stanno diventando sempre più sofisticati.
Gli attori utilizzano AlienFox per estrarre informazioni, come chiavi API e segreti, dai file di configurazione esposti sui server web delle vittime. Le versioni successive di AlienFox includono script che automatizzano azioni dannose utilizzando credenziali rubate, come stabilire la persistenza dell'account AWS e l'escalation dei privilegi e raccogliere quote di invio e automatizzare campagne di spam utilizzando account o servizi delle vittime.
AlienFox è progettato per indirizzare una varietà di servizi Web, ma si concentra principalmente su servizi di hosting di posta elettronica basati su cloud e software-as-a-service (SaaS). Gli attori sono opportunisti e fanno affidamento su configurazioni errate del server associate a framework Web popolari come Laravel, Drupal, Joomla, Magento, Opencart, Prestashop e WordPress. I set di strumenti contengono script che controllano questi servizi e i file "target" sono generati da uno script separato che utilizza la forza bruta per IP e sottoreti, nonché API Web per piattaforme di intelligence open source.
Quando viene identificato un server vulnerabile, gli attori estraggono informazioni sensibili dall'ambiente esposto o dai file di configurazione, inclusi i servizi abilitati e le chiavi e i segreti API associati.
AlienFox continua a evolversi
SentinelOne ha scoperto tre diverse versioni di AlienFox che risalgono al febbraio 2022, e alcuni degli script trovati sono stati classificati come famiglie di malware da altri ricercatori, come Androxgh0st di Lacework. Il fatto che tutti i set di strumenti di targeting SES analizzati da SentinelOne si concentrino sui server che utilizzano il framework PHP di Laravel potrebbe implicare che Laravel sia particolarmente vulnerabile a configurazioni errate o esposizioni.
AlienFox v4 è strutturato in modo diverso dalle altre versioni, con ogni strumento che riceve un identificatore numerico come Tool1 e Tool2. Sono stati aggiunti alcuni nuovi strumenti che suggeriscono che gli sviluppatori stanno cercando nuovi utenti o stanno espandendo le capacità dei toolkit esistenti. Ad esempio, un nuovo strumento controlla se gli indirizzi e-mail sono collegati agli account di vendita al dettaglio Amazon e crea un nuovo account Amazon con l'indirizzo e-mail se non ce n'è uno. Un altro strumento automatizza la generazione di semi di portafogli di criptovaluta per Bitcoin ed Ethereum.
A causa del suo continuo sviluppo, è probabile che AlienFox continuerà ad essere utilizzato per molto tempo.
