FBI alerta contra botnet Androxgh0st que rouba credenciais de nuvem

Início / Tecnologia da Informação / FBI alerta contra botnet Androxgh0st que rouba credenciais de nuvem
FBI alerta contra botnet Androxgh0st que rouba credenciais de nuvem

O FBI (Federal Bureau of Investigation) e a Cybersecurity and Infrastructure Security Agency (CISA) publicaram um comunicado urgente sobre o botnet Androxgh0st, que está sendo usado para roubar credenciais de nuvem das principais plataformas, incluindo AWS, SendGrid e Microsoft Office 365.

Inicialmente identificado pelo Lacework Labs em 2022, o Androxgh0st é um malware com script Python projetado para se infiltrar e explorar vulnerabilidades em várias estruturas e servidores da web, visando principalmente arquivos .env que armazenam credenciais confidenciais na nuvem.

Androxgh0st verifica sites e servidores usando versões mais antigas de PHPUnit, estruturas web PHP e servidores web Apache que possuem vulnerabilidades conhecidas de execução remota de código (RCE).

Cerca de 68% dos abusos de SMTP do malware Androxgh0st têm origem em Windows sistemas, com 87% dos ataques executados através de Python, de acordo com Análise do Lacework Labs.

Um sinal revelador do malware são solicitações incomuns da Web para locais específicos de servidores, disse a CISA.

Depois de identificar um sistema vulnerável, o Androxgh0st extrai credenciais de arquivos .env, que geralmente contêm chaves de acesso para aplicativos de alto perfil, como Amazon Web Serviços (AWS), Microsoft Office 365, SendGrid e Twilio.

O malware também pode se auto-replicar usando as credenciais comprometidas da AWS para criar novos usuários e instâncias, permitindo expandir seu alcance e procurar alvos mais vulneráveis ​​na Internet.

A CISA e o FBI incentivaram os provedores de serviços a atualizar suas versões do Apache, revisar regularmente as credenciais da nuvem armazenadas em arquivos .env e configurar servidores para rejeitar automaticamente quaisquer solicitações de acesso a recursos, a menos que especificamente autorizado.

De acordo com especialistas, o problema predominante do mau gerenciamento de patches nas organizações e o número de servidores que executam software desatualizado são a razão por trás da rápida disseminação desse malware.

No seu pico, no início de janeiro, havia quase 50.000 dispositivos infectados, mas esse número caiu para cerca de 9.300, dados que o Fortiguard mostrou.

Fique por dentro das novidades sobre segurança cibernética.

Como os invasores usam o Androxgh0st para roubar dados

Além de roubar credenciais para lançar campanhas de spam, os invasores podem usar as credenciais para coletar informações de identificação pessoal (PII) dos serviços.

A indústria criptográfica, por exemplo, foi particularmente atingida por este tipo de ataque, com os maus actores a não visarem activos digitais – armazenados em carteiras offline segregadas – mas sim as PII dos utilizadores armazenadas em serviços de terceiros como SendGrid e Twilio.

Os malfeitores que compilam esses dados podem usá-los para construir dossiês conhecidos como “fullz”, que contêm todas as informações pessoais necessárias para roubar uma identidade e abrir linhas de crédito, vendidas em mercados darknet, ou usá-las para se envolver em ataques sofisticados de phishing, que usam os dados roubados para construir uma narrativa verossímil.

Leitura relacionada:

Roberto Magalhães

O cérebro editor por trás do Tecnologico.online, é um entusiasta apaixonado por tecnologia. Canaliza sua fascinação para criar conteúdo envolvente e informativo. Sua dedicação à inovação reflete-se nos artigos que produz, abrangendo uma ampla gama de tópicos tecnológicos. Com um olhar atento para as últimas tendências e desenvolvimentos, busca tornar...

Voltar para o blog

Deixe um comentário

Os comentários precisam ser aprovados antes da publicação.