Alien Fox

De acordo com os pesquisadores da infosec, um novo conjunto de ferramentas chamado AlienFox está sendo distribuído via Telegram, um popular aplicativo de mensagens. O conjunto de ferramentas foi projetado para permitir que os agentes de ameaças coletem credenciais de chaves de API e outros dados confidenciais de vários provedores de serviços em nuvem.

O relatório divulgado pelos especialistas em segurança cibernética do SentinelOne revela que o AlienFox é um malware altamente modular que está evoluindo continuamente com novos recursos e melhorias de desempenho. Os agentes de ameaças usam o AlienFox para identificar e coletar credenciais de serviço de serviços expostos ou mal configurados. Se uma vítima for vítima de tais ataques, isso pode levar a várias consequências, como aumento dos custos do serviço, perda da confiança do cliente e custos de remediação.

Além disso, também pode abrir as portas para novas campanhas criminosas, pois as versões mais recentes do AlienFox incluem uma variedade de scripts que podem automatizar operações maliciosas usando as credenciais roubadas. Por exemplo, existe um script que permite o estabelecimento de persistência, o que significa que o invasor pode manter o controle do sistema comprometido mesmo após uma reinicialização ou atualização. O mesmo script também facilita o escalonamento de privilégios em contas da AWS, fornecendo assim ao invasor maior acesso e controle.

Além disso, um dos scripts incluídos no AlienFox pode automatizar campanhas de spam por meio de contas e serviços de vítimas, causando danos significativos à reputação da vítima e levando a perdas financeiras adicionais. No geral, é evidente que o uso do AlienFox por cibercriminosos pode ter consequências graves e duradouras para as vítimas.

AlienFox Localiza Hosts Mal Configurados

O AlienFox é uma ferramenta que os invasores usam para coletar listas de hosts mal configurados por meio de plataformas de verificação como LeakIX e SecurityTrails. Vale ressaltar que essa é uma característica cada vez mais comum entre os grupos de ameaças, pois eles tendem a usar produtos de segurança legítimos, como o Cobalt Strike, em suas operações maliciosas.

Depois que os invasores identificam os servidores vulneráveis, eles podem usar uma variedade de scripts do kit de ferramentas AlienFox para roubar informações confidenciais de plataformas em nuvem, como Amazon Web Services e Microsoft Office 365. Vale a pena observar que, embora os scripts AlienFox possam ser aproveitados contra uma variedade de serviços da web, eles são direcionados principalmente para serviços de hospedagem de e-mail baseados em nuvem e Software-as-a-Service (SaaS).

Muitas das configurações incorretas exploradas estão associadas a estruturas populares da Web, como Laravel, Drupal, WordPress e OpenCart. Os scripts AlienFox utilizam técnicas de força bruta para IPs e sub-redes e APIs da web quando se trata de plataformas de inteligência de código aberto como SecurityTrails e LeakIX para verificar serviços em nuvem e gerar uma lista de alvos.

Depois que um servidor vulnerável é identificado, os invasores se movem para extrair informações confidenciais. Os cibercriminosos usam scripts direcionados a tokens e outros segredos de mais de uma dúzia de serviços em nuvem, incluindo AWS e Office 365, bem como Google Workspace, Nexmo, Twilio e OneSignal. É evidente que o uso do AlienFox por invasores pode representar uma ameaça significativa para organizações que dependem de serviços em nuvem para suas operações.

Malware AlienFox Ainda Está em Desenvolvimento Ativo

Três versões do AlienFox desde fevereiro de 2022 foram identificadas até agora. Vale ressaltar que alguns dos scripts encontrados foram marcados como famílias de malware por outros pesquisadores.

Cada um dos conjuntos de ferramentas que abusam de SES que foram analisados tem como alvo servidores usando o framework Laravel PHP. Esse fato pode sugerir que o Laravel é particularmente suscetível a configurações incorretas ou exposições.

É interessante notar que o AlienFox v4 está organizado de forma diferente dos outros. Por exemplo, cada ferramenta nesta versão recebe um identificador numérico, como Ferramenta1 e Ferramenta2. Algumas das novas ferramentas sugerem que os desenvolvedores estão tentando atrair novos usuários ou aumentar o que os kits de ferramentas existentes podem fazer. Por exemplo, uma ferramenta verifica endereços de e-mail vinculados a contas de varejo da Amazon. Se nenhum desses e-mails for encontrado, o script criará uma nova conta da Amazon usando o endereço de e-mail. Outra ferramenta automatiza as sementes de carteira de criptomoeda especificamente para Bitcoin e Ethereum.

Essas descobertas destacam a natureza em constante evolução do AlienFox e sua crescente sofisticação. É imperativo que as organizações permaneçam vigilantes e tomem as medidas necessárias para proteger seus sistemas contra tais ameaças.