AlienFox-Toolset zum Stehlen von Anmeldedaten für Cloud-basierte E-Mail-Dienste verwendet

Ein neues modulares Toolkit, AlienFox, ermöglicht es böswilligen Akteuren, Anmeldedaten von mehreren Cloud-Service-Anbietern zu sammeln, so SentinelLabs. Das Toolset ist käuflich zu erwerben und wird hauptsächlich über Telegram als Quellcode-Archive verbreitet. Die Module sind auch auf GitHub verfügbar, damit die Akteure ihren Schadcode an ihre Bedürfnisse anpassen können.

AlienFox ermöglicht es seinen Betreibern, API-Schlüssel und Geheimnisse von beliebten Diensten wie AWS SES und Microsoft Office 365 abzugreifen. Die Malware zielt auf falsch konfigurierte Server, auf denen beliebte Web-Frameworks wie Laravel, Drupal, Joomla, Magento, Opencart, Prestashop und WordPress laufen. Sie ist auch in der Lage, Geheimnisse für beliebte Cloud-basierte E-Mail-Plattformen anzugreifen, darunter 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra und Zoho.

Die neueste Version von AlienFox, Version 4, weist eine andere Struktur auf als frühere Versionen. Es wurde ein Targeting für WordPress, Joomla, Drupal, Prestashop, Magento und Opencart hinzugefügt, sowie ein Amazon.com Retail Site Account Checker. Die neueste Version enthält auch Wallet Cracker Skripte, Tools 19 (BTC.py) und 20 (ETH.py), die das Seeding von Kryptowährungs-Wallets für Bitcoin bzw. Ethereum automatisieren.

Die Verbreitung von AlienFox steht für einen Trend zu Angriffen auf minimalistische Cloud-Dienste, die sich nicht für Kryptomining eignen. Angreifer nutzen AlienFox, um Anmeldedaten von falsch konfigurierten oder ungeschützten Diensten zu identifizieren und zu sammeln. AlienFox zeigt eine weitere Stufe in der Entwicklung der Internetkriminalität in der Cloud.

Die Akteure verwenden AlienFox, um Listen mit falsch konfigurierten Hosts von Sicherheitsscan-Plattformen wie LeakIX und SecurityTrails zu sammeln. Sie verwenden mehrere Skripte im Toolset, um sensible Informationen wie API-Schlüssel und Geheimnisse aus Konfigurationsdateien zu extrahieren, die auf den Webservern der Opfer liegen.

Spätere Versionen des Toolsets fügten Skripte hinzu, die bösartige Aktionen mit den gestohlenen Anmeldeinformationen automatisieren, einschließlich der Einrichtung von Amazon Web Services (AWS)-Kontenpersistenz und der Ausweitung von Berechtigungen sowie der Erfassung von Sendequoten und der Automatisierung von Spam-Kampagnen über Opferkonten oder -dienste.

Zu den Quellen für diesen Beitrag gehört ein Artikel in SecurityAffairs.

Zusammenfassung

Artikel Name

AlienFox-Toolset zum Stehlen von Anmeldedaten für Cloud-basierte E-Mail-Dienste verwendet

Beschreibung

Ein neues modulares Toolkit, AlienFox, ermöglicht es böswilligen Akteuren, Anmeldedaten von mehreren Cloud-Service-Anbietern zu sammeln.

Autor

Obanla Opeyemi

Name des Herausgebers

TuxCare

Logo des Herausgebers