Les chercheurs de SentinelLabs ont découvert un nouvel ensemble d'outils que les cybercriminels utilisent pour s'introduire dans les services de messagerie et d'hébergement Web (ouvre dans un nouvel onglet).
L'ensemble d'outils malveillants, appelé « AlienFox », est décrit comme « hautement modulaire » et reçoit des mises à jour régulières. La plupart des outils du kit sont open source et, compte tenu de la rapidité avec laquelle ils sont mis à jour, les chercheurs ont conclu que les développeurs deviennent « de plus en plus sophistiqués ».
Selon le rapport SentinelLabs, les pirates utilisent AlienFox dans les groupes Telegram, affirmant qu'il peut être utilisé pour compromettre des hôtes mal configurés sur des plates-formes cloud et voler des données sensibles.
Abus des plateformes de numérisation
"Les outils AlienFox facilitent les attaques contre des services minimaux qui ne disposent pas des ressources nécessaires au minage", ont indiqué les chercheurs dans leur rapport. "En analysant les outils et les résultats des outils, nous avons constaté que les acteurs utilisent AlienFox pour identifier et collecter les informations d'identification des services mal configurés ou exposés, des services supplémentaires, une perte de confiance des clients et des coûts de remédiation."
Pour générer une liste d'hôtes mal configurés, la boîte à outils utilise des plates-formes d'analyse de sécurité, telles que LeakIX ou SecurityTrails. Il utilise ensuite divers scripts pour extraire des informations sensibles, telles que les clés API et les secrets des fichiers de configuration, ont expliqué les chercheurs. Certaines des versions analysées pour le rapport ont pu établir la persistance du compte AWS et élever les privilèges, ainsi que collecter des quotas d'envoi et automatiser les campagnes de spam sur les comptes et services des victimes.
Jusqu'à présent, les attaques contre les services basés sur le cloud se limitaient principalement aux cryptomineurs. Les acteurs de la menace utiliseraient des serveurs cloud compromis pour exécuter XMRig ou des mineurs de crypto-monnaie similaires, générant des jetons sans avoir à payer pour l'électricité, Internet ou la puissance de calcul. Avec AlienFox, affirme SentinelLabs, les attaques opportunistes dans le cloud ne se limitent plus au cryptomining.
"Pour les victimes, un compromis peut entraîner des coûts de service supplémentaires, une perte de confiance des clients et des coûts de remédiation", ont conclu les chercheurs.
Via : Le registre (Ouvre dans un nouvel onglet)