È stato recentemente scoperto AlienFox, un nuovo malware che colpisce le chiavi API e i segreti dei servizi cloud di AWS, Google e Microsoft. Distribuito tramite Telegram, questo strumento consente agli attori delle minacce di raccogliere credenziali dai principali fornitori di servizi cloud.
AlienFox, un insieme di strumenti pericolosi
AlienFox è un toolkit completo e altamente modulare che si evolve costantemente per aggiungere nuove funzionalità e migliorare le prestazioni. Il suo scopo principale è individuare host mal configurati tramite piattaforme di scansione come LeakIX e SecurityTrails, e successivamente utilizzare vari script per estrarre credenziali dai file di configurazione esposti sui server.
Come funziona AlienFox
AlienFox ricerca server vulnerabili associati a famosi framework web, tra cui Laravel, Drupal, Joomla, Magento, Opencart, Prestashop e WordPress. Le versioni più recenti dello strumento includono la capacità di stabilire la persistenza su un account Amazon Web Services (AWS) e scalare i privilegi, nonché di automatizzare campagne di spam attraverso gli account compromessi.
Attacchi opportunistici e difesa
Gli attacchi che coinvolgono AlienFox sono considerati opportunistici, con script in grado di raccogliere dati sensibili relativi a AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Microsoft 365, Sendgrid, Twilio, Zimbra e Zoho. Per mitigare le minacce poste da AlienFox, si raccomanda alle organizzazioni di attenersi alle migliori pratiche di gestione delle configurazioni e seguire il principio del privilegio minimo (PoLP).
L’evoluzione della cybercriminalità nel cloud
Il toolset AlienFox rappresenta un’ulteriore fase nell’evoluzione della cybercriminalità nel cloud. Le vittime di questo malware possono subire costi aggiuntivi per i servizi, una perdita di fiducia da parte dei clienti e costi di rimedio.