Soporte técnico
Documentación
Inicio de sesión
Póngase en contacto con nosotros
Conjunto de herramientas AlienFox utilizadas para robar credenciales de servicios de correo electrónico en la nube
12 de abril de 2023 - Equipo de RRPP de TuxCare
Según SentinelLabs, un nuevo conjunto de herramientas modulares, AlienFox, permite a los ciberdelincuentes recopilar credenciales de varios proveedores de servicios en la nube. El conjunto de herramientas está a la venta y se distribuye principalmente en Telegram como archivos de código fuente. Los módulos también están disponibles en GitHub para que los ciberdelincuentes personalicen su código malicioso según sus necesidades.
AlienFox permite a sus operadores recopilar claves API y secretos de servicios populares como AWS SES y Microsoft Office 365. El malware se dirige a servidores mal configurados que ejecutan frameworks web populares, como Laravel, Drupal, Joomla, Magento, Opencart, Prestashop y WordPress. También es capaz de atacar secretos de plataformas de correo electrónico basadas en la nube, como 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra y Zoho.
La versión más reciente de AlienFox, la 4, muestra una estructura diferente a la de las versiones anteriores. Ha añadido objetivos para WordPress, Joomla, Drupal, Prestashop, Magento y Opencart, así como un verificador de cuentas de sitios minoristas de Amazon.com. La última versión también incluye los scripts Wallet Cracker, Herramientas 19 (BTC.py) y 20 (ETH.py), que automatizan las semillas de monederos de criptomonedas para Bitcoin y Ethereum, respectivamente.
La propagación de AlienFox representa una tendencia a atacar servicios en la nube más mínimos que no son adecuados para la minería de criptomonedas. Los atacantes utilizan AlienFox para identificar y recopilar credenciales de servicios mal configurados o expuestos. AlienFox demuestra otra etapa en la evolución de la ciberdelincuencia en la nube.
Los delincuentes utilizan AlienFox para recopilar listas de hosts mal configurados de plataformas de análisis de seguridad, como LeakIX y SecurityTrails. Utilizan varios scripts del conjunto de herramientas para extraer información confidencial, como claves de API y secretos, de los archivos de configuración expuestos en los servidores web de las víctimas.
Las versiones posteriores del conjunto de herramientas añadieron secuencias de comandos que automatizan acciones maliciosas utilizando las credenciales robadas, incluido el establecimiento de la persistencia de la cuenta de Amazon Web Services (AWS) y la escalada de privilegios, así como la recopilación de cuotas de envío y la automatización de campañas de spam a través de cuentas o servicios víctimas.
Las fuentes de este artículo incluyen un artículo en SecurityAffairs.
