AlienFox

Secondo i ricercatori di infosec, un nuovo set di strumenti chiamato AlienFox è attualmente distribuito tramite Telegram, una popolare app di messaggistica. Il set di strumenti è progettato per consentire agli attori delle minacce di raccogliere credenziali dalle chiavi API e altri dati sensibili da vari provider di servizi cloud.

Il rapporto pubblicato dagli esperti di sicurezza informatica di SentinelOne rivela che AlienFox è un malware altamente modulare in continua evoluzione con nuove funzionalità e miglioramenti delle prestazioni. Gli attori delle minacce utilizzano AlienFox per identificare e raccogliere le credenziali del servizio da servizi esposti o configurati in modo errato. Se una vittima cade preda di tali attacchi, può portare a diverse conseguenze, come l'aumento dei costi del servizio, la perdita della fiducia dei clienti e i costi di riparazione.

Inoltre, può anche aprire le porte a ulteriori campagne criminali poiché le ultime versioni di AlienFox includono una serie di script in grado di automatizzare operazioni dannose utilizzando le credenziali rubate. Ad esempio, esiste uno script che consente di stabilire la persistenza, il che significa che l'attaccante può mantenere il controllo del sistema compromesso anche dopo un riavvio o un aggiornamento. Lo stesso script facilita anche l'escalation dei privilegi negli account AWS, fornendo così all'aggressore maggiore accesso e controllo.

Inoltre, uno degli script inclusi in AlienFox può automatizzare le campagne di spam attraverso account e servizi delle vittime, causando così un danno significativo alla reputazione della vittima e portando a ulteriori perdite finanziarie. Nel complesso, è evidente che l'uso di AlienFox da parte dei criminali informatici può avere conseguenze gravi e durature per le vittime.

AlienFox individua host configurati in modo errato

AlienFox è uno strumento che gli aggressori utilizzano per raccogliere elenchi di host configurati in modo errato tramite piattaforme di scansione come LeakIX e SecurityTrails. È interessante notare che questo è un tratto sempre più comune tra i gruppi di minacce poiché tendono a utilizzare prodotti di sicurezza legittimi, come Cobalt Strike, nelle loro operazioni dannose.

Una volta che gli aggressori hanno identificato i server vulnerabili, possono utilizzare una serie di script del toolkit AlienFox per rubare informazioni sensibili da piattaforme cloud come Amazon Web Services e Microsoft Office 365. Vale la pena notare che mentre gli script AlienFox possono essere sfruttati contro una gamma di servizi Web, sono principalmente destinati ai servizi di hosting di posta elettronica basati su cloud e Software-as-a-Service (SaaS).

Molte delle configurazioni errate sfruttate sono associate a framework Web popolari come Laravel, Drupal, WordPress e OpenCart. Gli script AlienFox utilizzano tecniche di forza bruta per IP e sottoreti e API Web quando si tratta di piattaforme di intelligence open source come SecurityTrails e LeakIX per verificare la presenza di servizi cloud e generare un elenco di obiettivi.

Una volta identificato un server vulnerabile, gli aggressori si spostano per estrarre informazioni sensibili. I criminali informatici utilizzano script che prendono di mira token e altri segreti di oltre una dozzina di servizi cloud, tra cui AWS e Office 365, nonché Google Workspace, Nexmo, Twilio e OneSignal. È evidente che l'uso di AlienFox da parte degli aggressori può rappresentare una minaccia significativa per le organizzazioni che si affidano ai servizi cloud per le loro operazioni.

Il malware AlienFox è ancora in fase di sviluppo attivo

Finora sono state identificate tre versioni di AlienFox risalenti al febbraio 2022. Vale la pena sottolineare che alcuni degli script trovati sono stati etichettati come famiglie di malware da altri ricercatori.

Ciascuno dei set di strumenti che abusano di SES che sono stati analizzati prende di mira i server utilizzando il framework Laravel PHP. Questo fatto potrebbe suggerire che Laravel è particolarmente suscettibile a configurazioni errate o esposizioni.

È interessante notare che AlienFox v4 è organizzato in modo diverso dagli altri. Ad esempio, a ogni strumento in questa versione viene assegnato un identificatore numerico, come Tool1 e Tool2. Alcuni dei nuovi strumenti suggeriscono che gli sviluppatori stanno cercando di attrarre nuovi utenti o aumentare ciò che i toolkit esistenti possono fare. Ad esempio, uno strumento controlla gli indirizzi e-mail collegati agli account di vendita al dettaglio di Amazon. Se non vengono trovate tali e-mail, lo script creerà un nuovo account Amazon utilizzando l'indirizzo e-mail. Un altro strumento automatizza i semi del portafoglio di criptovaluta specificamente per Bitcoin ed Ethereum.

Questi risultati evidenziano la natura in continua evoluzione di AlienFox e la sua crescente sofisticazione. È imperativo che le organizzazioni rimangano vigili e adottino le misure necessarie per proteggere i propri sistemi da tali minacce.