AlienFox

Segons els investigadors d'infosec, actualment s'està distribuint un nou conjunt d'eines anomenat AlienFox a través de Telegram, una aplicació de missatgeria popular. El conjunt d'eines està dissenyat per permetre als actors d'amenaça recollir credencials de claus API i altres dades sensibles de diversos proveïdors de serveis al núvol.

L'informe publicat pels experts en ciberseguretat de SentinelOne, revela que AlienFox és un programari maliciós altament modular que evoluciona contínuament amb noves funcions i millores de rendiment. Els actors d'amenaça utilitzen AlienFox per identificar i recopilar credencials de servei de serveis exposats o mal configurats. Si una víctima és víctima d'aquests atacs, pot tenir diverses conseqüències, com ara l'augment dels costos del servei, la pèrdua de confiança del client i els costos de reparació.

A més, també pot obrir les portes a més campanyes criminals, ja que les últimes versions d'AlienFox inclouen una sèrie d'scripts que poden automatitzar operacions malicioses mitjançant les credencials robades. Per exemple, hi ha un script que permet establir la persistència, el que significa que l'atacant pot mantenir el control del sistema compromès fins i tot després d'un reinici o actualització. El mateix script també facilita l'escalada de privilegis als comptes d'AWS, proporcionant així a l'atacant un major accés i control.

A més, un dels scripts inclosos a AlienFox pot automatitzar campanyes de correu brossa a través de comptes i serveis de víctimes, causant així un dany important a la reputació de la víctima i provocant pèrdues financeres addicionals. En general, és evident que l'ús d'AlienFox per part dels ciberdelinqüents pot tenir conseqüències greus i duradores per a les víctimes.

AlienFox localitza hosts mal configurats

AlienFox és una eina que utilitzen els atacants per recopilar llistes d'amfitrions mal configurats mitjançant plataformes d'escaneig com LeakIX i SecurityTrails. Cal destacar que aquest és un tret cada cop més comú entre els grups d'amenaça, ja que solen utilitzar productes de seguretat legítims, com ara Cobalt Strike, en les seves operacions malicioses.

Un cop els atacants hagin identificat els servidors vulnerables, poden utilitzar una sèrie d'scripts del conjunt d'eines AlienFox per robar informació confidencial de plataformes en núvol com Amazon Web Services i Microsoft Office 365. Val la pena assenyalar que, si bé els scripts d'AlienFox es poden aprofitar contra una gamma de serveis web, estan dirigits principalment a serveis d'allotjament de correu electrònic basats en núvol i Software-as-a-Service (SaaS).

Moltes de les configuracions incorrectes que s'aprofiten s'associen a marcs web populars com ara Laravel, Drupal, WordPress i OpenCart. Els scripts d'AlienFox utilitzen tècniques de força bruta per a IP i subxarxes i API web quan es tracta de plataformes d'intel·ligència de codi obert com SecurityTrails i LeakIX per comprovar si hi ha serveis al núvol i generar una llista d'objectius.

Un cop identificat un servidor vulnerable, els atacants es mouen per extreure informació sensible. Els ciberdelinqüents utilitzen scripts dirigits a fitxes i altres secrets de més d'una dotzena de serveis al núvol, inclosos AWS i Office 365, així com Google Workspace, Nexmo, Twilio i OneSignal. És evident que l'ús d'AlienFox per part dels atacants pot suposar una amenaça important per a les organitzacions que depenen dels serveis al núvol per a les seves operacions.

El programari maliciós AlienFox encara està en desenvolupament actiu

Fins ara s'han identificat tres versions d'AlienFox que es remunten al febrer de 2022. Val la pena assenyalar que alguns dels scripts trobats han estat etiquetats com a famílies de programari maliciós per part d'altres investigadors.

Cadascun dels conjunts d'eines que abusen de SES que s'han analitzat es dirigeixen als servidors mitjançant el marc PHP de Laravel. Aquest fet pot suggerir que Laravel és especialment susceptible a configuracions incorrectes o exposicions.

És interessant assenyalar que AlienFox v4 està organitzat de manera diferent de les altres. Per exemple, a cada eina d'aquesta versió se li assigna un identificador numèric, com ara Eina1 i Eina2. Algunes de les noves eines suggereixen que els desenvolupadors intenten atraure nous usuaris o augmentar el que poden fer els kits d'eines existents. Per exemple, una eina comprova les adreces de correu electrònic vinculades a comptes minoristes d'Amazon. Si no es troba cap d'aquests correus electrònics, l'script crearà un compte d'Amazon nou amb l'adreça de correu electrònic. Una altra eina automatitza les llavors de cartera de criptomoneda específicament per a Bitcoin i Ethereum.

Aquestes troballes posen de manifest la naturalesa en constant evolució d'AlienFox i la seva creixent sofisticació. És imprescindible que les organitzacions es mantinguin vigilants i prenguin les mesures necessàries per protegir els seus sistemes contra aquestes amenaces.