FBI e CISA alertam contra botnet Androxgh0st que rouba credenciais

Penka Hristovska
Atualizado em: 17 de janeiro de 2024

Os hackers por trás do malware Androxgh0st estão criando uma botnet capaz de roubar credenciais de nuvem das principais plataformas, disseram agências cibernéticas dos EUA na terça-feira.

A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e o Federal Bureau of Investigation (FBI) divulgaram um assessoria conjunta nas descobertas das investigações em andamento sobre as estratégias empregadas pelos hackers que usam o malware.

Este malware foi identificado pela primeira vez em dezembro de 2022 pelo Lacework Labs.

Segundo as agências, os hackers estão usando o Androxgh0st para criar uma botnet “para identificação de vítimas e exploração em redes alvo”. A botnet procura arquivos .env, que os cibercriminosos costumam ter como alvo, pois contêm credenciais e tokens. As agências disseram que essas credenciais são de “aplicativos de alto perfil”, como Microsoft Office 365, SendGrid, Amazon Web Services e Twilio.

“O malware Androxgh0st também suporta inúmeras funções capazes de abusar do Simple Mail Transfer Protocol (SMTP), como verificação e exploração de credenciais expostas e interfaces de programação de aplicativos (APIs) e implantação de web shell”, explicaram o FBI e a CISA.

O malware é usado em campanhas destinadas a identificar e direcionar sites com vulnerabilidades específicas. A botnet utiliza o framework Laravel, uma ferramenta de desenvolvimento de aplicações web, para busca de sites. Depois de encontrar os sites, os hackers tentam determinar se determinados arquivos estão acessíveis e se contêm credenciais.

O comunicado da CISA e do FBI aponta para uma vulnerabilidade crítica e corrigida há muito tempo no Laravel, identificada como CVE-2018-15133, que o botnet explora para acessar credenciais, como nomes de usuário e senhas para serviços como e-mail (usando SMTP) e contas AWS.

“Se os agentes da ameaça obtiverem credenciais para quaisquer serviços… eles poderão usar essas credenciais para acessar dados confidenciais ou usar esses serviços para conduzir operações maliciosas adicionais”, diz o comunicado.

“Por exemplo, quando os agentes de ameaças identificam e comprometem com sucesso as credenciais da AWS de um site vulnerável, eles foram observados tentando criar novos usuários e políticas de usuário. Além disso, foram observados atores do Andoxgh0st criando novas instâncias da AWS para usar na condução de atividades de varredura adicionais”, explicam as agências.

• Conteúdo com tecnologia de SEO e distribuição de relações públicas. Seja amplificado hoje.
• PlatoData.Network Gerativa Vertical Ai. Capacite-se. Acesse aqui.
• PlatoAiStream. Inteligência Web3. Conhecimento Amplificado. Acesse aqui.
• PlatãoESG. Carbono Tecnologia Limpa, Energia, Ambiente, Solar, Gestão de resíduos. Acesse aqui.
• PlatoHealth. Inteligência em Biotecnologia e Ensaios Clínicos. Acesse aqui.
• Fonte: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/