Un nuevo conjunto de herramientas modular llamado 'AlienFox' permite a los actores de amenazas buscar servidores mal configurados para robar los secretos de autenticación y las credenciales para los servicios de correo electrónico basados en la nube.
El conjunto de herramientas se vende a los ciberdelincuentes a través de un canal privado de Telegram, que se ha convertido en un embudo típico para transacciones entre autores de malware y piratas informáticos.
Los investigadores de SentinelLabs que analizaron AlienFox informan que el conjunto de herramientas se enfoca en configuraciones erróneas comunes en servicios populares como marcos de alojamiento en línea, como Laravel, Drupal, Joomla, Magento, Opencart, Prestashop y WordPress.
Los analistas identificaron tres versiones de AlienFox, lo que indica que el autor del conjunto de herramientas está desarrollando y mejorando activamente la herramienta maliciosa.
AlienFox apunta a tus secretos
AlienFox es un conjunto de herramientas modular que comprende varias herramientas personalizadas y utilidades de código abierto modificadas creadas por diferentes autores.
Los actores de amenazas usan AlienFox para recopilar listas de puntos finales en la nube mal configurados de plataformas de escaneo de seguridad como LeakIX y SecurityTrails.
Luego, AlienFox utiliza secuencias de comandos de extracción de datos para buscar en los servidores mal configurados archivos de configuración confidenciales comúnmente utilizados para almacenar secretos, como claves API, credenciales de cuenta y tokens de autenticación.
Los secretos específicos son para plataformas de correo electrónico basadas en la nube, incluidas 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra y Zoho.
El kit de herramientas también incluye scripts separados para establecer persistencia y escalar privilegios en servidores vulnerables.
Extracción de secretos de AWS (izquierda) y Office365 (derecha) (SentinelLabs)Un conjunto de herramientas en evolución
SentinelLabs informa que la versión más antigua encontrada es AlienFox v2, que se centra en la configuración del servidor web y la extracción de archivos del entorno.
A continuación, el malware analiza los archivos en busca de credenciales y los prueba en el servidor de destino, intentando SSH utilizando la biblioteca Paramiko Python.
AlienFox v2 también contiene un script (awses.py) que automatiza el envío y la recepción de mensajes en AWS SES (Simple Email Services) y aplica una persistencia de privilegios elevados a la cuenta de AWS del actor de amenazas.
Recuperación de direcciones de correo electrónico (SentinelLabs)Finalmente, la segunda versión de AlienFox presenta un exploit para CVE-2022-31279, una vulnerabilidad de deserialización en Laravel PHP Framework.
AlienFox v3 trajo una extracción automatizada de claves y secretos de los entornos de Laravel, mientras que los datos robados ahora presentaban etiquetas que indicaban el método de recolección utilizado.
En particular, la tercera versión del kit introdujo un mejor rendimiento, ahora con variables de inicialización, clases de Python con funciones modulares y subprocesos.
La versión más reciente de AlienFox es v4, que presenta una mejor organización de código y secuencias de comandos y una expansión del alcance de la orientación.
Más específicamente, la cuarta versión del malware ha agregado WordPress, Joomla, Drupal, Prestashop, Magento y Opencart, un verificador de cuentas de sitios minoristas de Amazon.com y un cracker de semillas de billetera de criptomonedas automatizado para Bitcoin y Ethereum.
Generador de semillas de billetera (SentinelLabs)Los nuevos scripts de "descifrado de billeteras" indican que el desarrollador de AlienFox quiere expandir la clientela del conjunto de herramientas o enriquecer sus capacidades para asegurar las renovaciones de suscripción de los clientes existentes.
Para protegerse contra esta amenaza en evolución, los administradores deben asegurarse de que la configuración de su servidor tenga los controles de acceso, los permisos de archivo y la eliminación de servicios innecesarios.
Además, implementar MFA (autenticación multifactor) y monitorear cualquier actividad inusual o sospechosa en las cuentas puede ayudar a detener las intrusiones de manera temprana.
