Des chercheurs de SentinelLabs ont découvert une nouvelle boîte à outils que les cybercriminels utilisent pour pirater les e-mails et le Web hébergement (s’ouvre dans un nouvel onglet) prestations de service.
La boîte à outils des logiciels malveillants, appelée « AlienFox », est décrite comme « hautement modulaire » et reçoit des mises à jour régulières. La plupart des outils du kit sont open source, et avec la vitesse à laquelle il est mis à jour, les chercheurs ont conclu que les développeurs deviennent « de plus en plus sophistiqués ».
Selon le rapport de SentinelLabs, les pirates utilisent AlienFox sur les groupes Telegram, affirmant qu’il peut être utilisé pour compromettre des hôtes mal configurés sur des plates-formes cloud et voler des données sensibles.
Abuser des plates-formes de numérisation
« Les outils AlienFox facilitent les attaques sur des services minimaux qui manquent des ressources nécessaires à l’exploitation minière », ont déclaré les chercheurs dans leur rapport. « En analysant les outils et la sortie des outils, nous avons constaté que les acteurs utilisent AlienFox pour identifier et collecter les informations d’identification de service à partir de services mal configurés ou exposés. Pour les victimes, la compromission peut entraîner des coûts de service supplémentaires, une perte de confiance des clients et des coûts de remédiation. »
Pour générer une liste d’hôtes mal configurés, la boîte à outils utilise des plates-formes d’analyse de sécurité, telles que LeakIX ou SecurityTrails. Ensuite, il utilise plusieurs scripts pour extraire des informations sensibles telles que les clés API et les secrets des fichiers de configuration, ont expliqué les chercheurs. Certaines des versions analysées pour le rapport ont pu établir la persistance du compte AWS et élever les privilèges, ainsi que collecter des quotas d’envoi et automatiser les campagnes de spam via les comptes et services des victimes.
Jusqu’à présent, les attaques contre les services basés sur le cloud se limitaient principalement aux cryptomineurs. Les acteurs de la menace utiliseraient des serveurs cloud compromis pour exécuter XMRig ou des mineurs de crypto-monnaie similaires, générant des jetons sans avoir à payer pour l’électricité, Internet ou la puissance de calcul. Avec AlienFox, affirme SentinelLabs, les attaques cloud opportunistes ne se limitent plus au cryptomining.
« Pour les victimes, un compromis peut entraîner des coûts de service supplémentaires, une perte de confiance des clients et des coûts de remédiation », ont conclu les chercheurs.
Via: Le registre (s’ouvre dans un nouvel onglet)