Una nueva herramienta de recolección de credenciales y secuestro de SMTP basada en Python llamada 'Legion' se vende en Telegram y se dirige a los servicios de correo electrónico en línea para ataques de phishing y spam.
Legion es vendido por ciberdelincuentes que usan el apodo de "Herramientas de Forza" y operan un canal de YouTube con tutoriales y un canal de Telegram con más de mil miembros.
Legion es un malware modular que, según Cado, probablemente se basa en el malware AndroxGhOst y presenta módulos para realizar la enumeración del servidor SMTP, la ejecución remota de código, explotar versiones vulnerables de Apache, cPanel de fuerza bruta y cuentas de WebHost Manager, interactuar con la API de Shodan y abusar de los servicios de AWS.
La herramienta apunta a muchos servicios para el robo de credenciales, incluidos Twilio, Nexmo, Stripe/Paypal (función de API de pago), credenciales de consola de AWS, AWS SNS, S3 y SES específicos, Mailgun y plataformas de base de datos/CMS.
Todos los servicios a los que apunta Legion (Cado)
Además de extraer credenciales e infringir servicios web, Legion también puede crear usuarios administradores, implantar webshells y enviar SMS no deseados a clientes de operadores estadounidenses.
Recolección de credenciales
Por lo general, Legion se dirige a servidores web no seguros que ejecutan sistemas de administración de contenido (CMS) y marcos basados en PHP como Laravel mediante el uso de patrones RegEx para buscar archivos comúnmente conocidos por contener secretos, tokens de autenticación y claves API.
La herramienta utiliza una variedad de métodos para recuperar credenciales de servidores web mal configurados, como archivos de variables de entorno de destino (.env) y archivos de configuración que pueden contener credenciales de SMTP, consola de AWS, Mailgun, Twilio y Nexmo.
Rutas analizadas por Legion en busca de secretos almacenados (Cado)
Además de intentar recopilar las credenciales de AWS, Legion también cuenta con un sistema de fuerza bruta para adivinarlas.
Sin embargo, Cado comenta que es estadísticamente poco probable que este sistema pueda generar credenciales utilizables en su estado actual. Se incluye una función similar para las credenciales de SendGrid de fuerza bruta.
Código para las credenciales de AWS de fuerza bruta (Cado)
Independientemente de cómo se obtengan las credenciales, Legion las usará para obtener acceso a los servicios de correo electrónico y enviar correos electrónicos no deseados o de phishing.
Si Legion captura credenciales de AWS válidas, intenta crear un usuario de IAM llamado 'ses_legion' y establece la política para otorgarle derechos de administrador, lo que otorga al usuario no autorizado acceso total a todos los servicios y recursos de AWS.
Creación de políticas de IAM (Cado)
Legion también puede enviar spam por SMS aprovechando las credenciales SMTP robadas después de generar una lista de números de teléfono con códigos de área obtenidos de los servicios en línea.
Los operadores admitidos por el malware incluyen AT&T, Sprint, US Cellular, T-Mobile, Cricket, Verizon, Virgin, SunCom, Alltel, Cingular, VoiceStream y más.
Finalmente, Legion puede explotar las vulnerabilidades conocidas de PHP para registrar un webshell en el punto final de destino o realizar la ejecución remota de código para dar al atacante acceso completo al servidor.
En conclusión, Legion es una herramienta de piratería y recolección de credenciales de uso múltiple que está ganando terreno en el mundo del delito cibernético, lo que aumenta el riesgo de servidores web mal administrados y mal configurados.
Los usuarios de AWS deben buscar signos de compromiso, como cambiar el código de registro de usuario de IAM para incluir una etiqueta de "Propietario" con el valor "ms.boharas".
