Support technique
Documentation
Connexion
Nous contacter
Les outils d'AlienFox utilisés pour voler les informations d'identification d'un service de messagerie électronique en nuage
Le 12 avril 2023 - L'équipe de relations publiques de TuxCare
Selon SentinelLabs, une nouvelle boîte à outils modulaire, AlienFox, permet à des acteurs malveillants de collecter des informations d'identification auprès de plusieurs fournisseurs de services en nuage. L'ensemble d'outils est disponible à la vente et principalement distribué sur Telegram sous forme d'archives de code source. Les modules sont également disponibles sur GitHub pour que les acteurs puissent personnaliser leur code malveillant en fonction de leurs besoins.
AlienFox permet à ses opérateurs de récupérer des clés et des secrets d'API de services populaires tels que AWS SES et Microsoft Office 365. Le logiciel malveillant cible les serveurs mal configurés qui exécutent des frameworks web populaires, notamment Laravel, Drupal, Joomla, Magento, Opencart, Prestashop et WordPress. Il est également capable de cibler les secrets des plateformes de messagerie électronique basées sur le cloud les plus répandues, notamment 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra et Zoho.
La version la plus récente d'AlienFox, la version 4, présente une structure différente de celle des versions précédentes. Elle a ajouté un ciblage pour WordPress, Joomla, Drupal, Prestashop, Magento et Opencart, ainsi qu'un vérificateur de compte pour le site de vente au détail Amazon.com. La dernière version comprend également des scripts Wallet Cracker, les outils 19 (BTC.py) et 20 (ETH.py), qui automatisent les semences de portefeuilles de crypto-monnaies pour Bitcoin et Ethereum, respectivement.
La diffusion d'AlienFox représente une tendance à attaquer des services en nuage plus minimes qui ne se prêtent pas au cryptomining. Les attaquants utilisent AlienFox pour identifier et collecter des informations d'identification de services mal configurés ou exposés. AlienFox illustre une autre étape de l'évolution de la cybercriminalité dans l'informatique en nuage.
Les acteurs utilisent AlienFox pour collecter des listes d'hôtes mal configurés à partir de plateformes d'analyse de la sécurité, notamment LeakIX et SecurityTrails. Ils utilisent plusieurs scripts de la boîte à outils pour extraire des informations sensibles, telles que des clés API et des secrets, des fichiers de configuration exposés sur les serveurs web des victimes.
Les versions ultérieures du jeu d'outils ont ajouté des scripts qui automatisent des actions malveillantes à l'aide des informations d'identification volées, y compris l'établissement de la persistance du compte Amazon Web Services (AWS) et l'escalade des privilèges, ainsi que la collecte de quotas d'envoi et l'automatisation de campagnes de spam par le biais de comptes ou de services de la victime.
Les sources de cet article comprennent un article de SecurityAffairs.
