AlienFox
Según los investigadores de infosec, actualmente se está distribuyendo un nuevo conjunto de herramientas llamado AlienFox a través de Telegram, una popular aplicación de mensajería. El conjunto de herramientas está diseñado para permitir que los actores de amenazas recopilen credenciales de claves API y otros datos confidenciales de varios proveedores de servicios en la nube.
El informe publicado por los expertos en ciberseguridad de SentinelOne revela que AlienFox es un malware altamente modular que evoluciona continuamente con nuevas características y mejoras de rendimiento. Los actores de amenazas utilizan AlienFox para identificar y recopilar credenciales de servicio de servicios expuestos o mal configurados. Si una víctima cae presa de tales ataques, puede tener varias consecuencias, como mayores costos de servicio, pérdida de confianza del cliente y costos de remediación.
Además, también puede abrir las puertas a más campañas delictivas, ya que las últimas versiones de AlienFox incluyen una variedad de scripts que pueden automatizar operaciones maliciosas utilizando las credenciales robadas. Por ejemplo, hay una secuencia de comandos que permite el establecimiento de la persistencia, lo que significa que el atacante puede mantener el control del sistema comprometido incluso después de reiniciar o actualizar. El mismo script también facilita la escalada de privilegios en las cuentas de AWS, lo que proporciona al atacante un mayor acceso y control.
Además, uno de los scripts incluidos en AlienFox puede automatizar campañas de spam a través de las cuentas y servicios de las víctimas, lo que causa un daño significativo a la reputación de la víctima y genera pérdidas financieras adicionales. En general, es evidente que el uso de AlienFox por parte de los ciberdelincuentes puede tener consecuencias graves y duraderas para las víctimas.
AlienFox localiza hosts mal configurados
AlienFox es una herramienta que utilizan los atacantes para recopilar listas de hosts mal configurados a través de plataformas de escaneo como LeakIX y SecurityTrails. Cabe señalar que este es un rasgo cada vez más común entre los grupos de amenazas, ya que tienden a utilizar productos de seguridad legítimos, como Cobalt Strike, en sus operaciones maliciosas.
Una vez que los atacantes han identificado los servidores vulnerables, pueden usar una variedad de secuencias de comandos del kit de herramientas AlienFox para robar información confidencial de plataformas en la nube como Amazon Web Services y Microsoft Office 365. Vale la pena señalar que, si bien las secuencias de comandos AlienFox se pueden aprovechar contra una gama de servicios web, están destinados principalmente a servicios de alojamiento de correo electrónico basados en la nube y de software como servicio (SaaS).
Muchas de las configuraciones incorrectas que se explotan están asociadas con marcos web populares como Laravel, Drupal, WordPress y OpenCart. Los scripts de AlienFox utilizan técnicas de fuerza bruta para IP y subredes, y API web cuando se trata de plataformas de inteligencia de código abierto como SecurityTrails y LeakIX para buscar servicios en la nube y generar una lista de objetivos.
Una vez que se identifica un servidor vulnerable, los atacantes ingresan para extraer información confidencial. Los ciberdelincuentes usan scripts dirigidos a tokens y otros secretos de más de una docena de servicios en la nube, incluidos AWS y Office 365, así como Google Workspace, Nexmo, Twilio y OneSignal. Es evidente que el uso de AlienFox por parte de los atacantes puede representar una amenaza significativa para las organizaciones que dependen de los servicios en la nube para sus operaciones.
AlienFox Malware todavía está en desarrollo activo
Hasta el momento se han identificado tres versiones de AlienFox que se remontan a febrero de 2022. Vale la pena señalar que algunos de los scripts encontrados han sido etiquetados como familias de malware por otros investigadores.
Cada uno de los conjuntos de herramientas que abusan de SES que se analizaron apunta a servidores que utilizan el marco PHP de Laravel. Este hecho puede sugerir que Laravel es particularmente susceptible a malas configuraciones o exposiciones.
Es interesante notar que AlienFox v4 está organizado de manera diferente a los demás. Por ejemplo, a cada herramienta en esta versión se le asigna un identificador numérico, como Tool1 y Tool2. Algunas de las nuevas herramientas sugieren que los desarrolladores están tratando de atraer nuevos usuarios o aumentar lo que pueden hacer los conjuntos de herramientas existentes. Por ejemplo, una herramienta busca direcciones de correo electrónico vinculadas a cuentas minoristas de Amazon. Si no se encuentra ninguno de esos correos electrónicos, el script creará una nueva cuenta de Amazon usando la dirección de correo electrónico. Otra herramienta automatiza las semillas de billeteras de criptomonedas específicamente para Bitcoin y Ethereum.
Estos hallazgos resaltan la naturaleza en constante evolución de AlienFox y su creciente sofisticación. Es imperativo que las organizaciones permanezcan alerta y tomen las medidas necesarias para proteger sus sistemas contra tales amenazas.
