AlienFox - um malware modular que rouba credenciais da nuvem

De acordo com o SentinelLabs, há um novo conjunto de ferramentas chamado AlienFox que os invasores estão usando para coletar credenciais para vários provedores de serviços em nuvem, incluindo AWS SES e Microsoft Office 365.

Esse conjunto de ferramentas modulares é distribuído principalmente no Telegram na forma de arquivos de código-fonte, com alguns módulos disponíveis no GitHub para uso de invasores em potencial. A tendência de atacar serviços de nuvem menores que não são adequados para criptomineração está aumentando, pois a AlienFox permite e expande as campanhas subsequentes. AlienFox vem evoluindo regularmente, com recursos recorrentes sugerindo que os desenvolvedores estão se tornando cada vez mais sofisticados.

Os atores estão usando o AlienFox para extrair informações, como chaves e segredos de API, de arquivos de configuração que são expostos nos servidores da web das vítimas. As versões posteriores do AlienFox incluem scripts que automatizam ações maliciosas usando credenciais roubadas, como estabelecer persistência de conta da AWS e escalonamento de privilégios, coletar cotas de envio e automatizar campanhas de spam usando contas ou serviços de vítimas.

O AlienFox foi projetado para atingir uma variedade de serviços da Web, mas se concentra principalmente em serviços de hospedagem de e-mail baseados em nuvem e software como serviço (SaaS). Os atores são oportunistas e dependem de configurações incorretas do servidor associadas a estruturas populares da Web, como Laravel, Drupal, Joomla, Magento, Opencart, Prestashop e WordPress. Os conjuntos de ferramentas contêm scripts que verificam esses serviços e os arquivos 'alvo' são gerados por um script separado que usa força bruta para IPs e sub-redes, bem como APIs da Web para plataformas de inteligência de código aberto.

Quando um servidor vulnerável é identificado, os atores extraem informações confidenciais do ambiente exposto ou dos arquivos de configuração, incluindo serviços ativados e chaves e segredos de API associados.

AlienFox continua evoluindo

O SentinelOne descobriu três versões diferentes do AlienFox que datam de fevereiro de 2022, e alguns dos scripts encontrados foram classificados como famílias de malware por outros pesquisadores, como o Androxgh0st da Lacework. O fato de todos os conjuntos de ferramentas de segmentação de SES analisados pelo SentinelOne se concentrarem em servidores que usam a estrutura Laravel PHP pode implicar que o Laravel é particularmente vulnerável a configurações incorretas ou exposições.

O AlienFox v4 é estruturado de forma diferente das outras versões, com cada ferramenta recebendo um identificador numérico como Tool1 e Tool2. Algumas novas ferramentas foram adicionadas, sugerindo que os desenvolvedores estão procurando novos usuários ou expandindo os recursos dos kits de ferramentas existentes. Por exemplo, uma nova ferramenta verifica se os endereços de e-mail estão vinculados a contas de varejo da Amazon e cria uma nova conta da Amazon com o endereço de e-mail, caso não exista. Outra ferramenta automatiza a geração de sementes de carteira de criptomoeda para Bitcoin e Ethereum.

Devido ao seu desenvolvimento contínuo, é provável que o AlienFox continue a ser usado por muito tempo.