Sommario
I ricercatori di SentinelLabs hanno scoperto un nuovo kit di strumenti che i cybercriminali utilizzano per violare i servizi di email e hosting web. Il kit, chiamato “AlienFox”, è altamente modulare e riceve aggiornamenti regolari, dimostrando l’aumento della sofisticazione degli sviluppatori.
AlienFox e il furto di dati sensibili
Secondo il rapporto di SentinelLabs, gli hacker stanno promuovendo AlienFox su gruppi Telegram, affermando che può essere utilizzato per compromettere host mal configurati su piattaforme cloud e rubare dati sensibili. Il malware sfrutta piattaforme di scansione della sicurezza come LeakIX o SecurityTrails per generare un elenco di host mal configurati e utilizza diversi script per estrarre informazioni sensibili, come chiavi API e segreti, dai file di configurazione.
Gli effetti delle violazioni da AlienFox
Le versioni di AlienFox analizzate nel rapporto erano in grado di stabilire la persistenza degli account AWS, scalare i privilegi e raccogliere quote di invio per automatizzare campagne di spam attraverso account e servizi delle vittime. Per le vittime, un compromesso può comportare costi aggiuntivi per il servizio, perdita di fiducia da parte dei clienti e costi di rimedio.
Dall’estrazione di criptovalute ai sistemi cloud
Fino ad ora, gli attacchi ai servizi cloud erano limitati principalmente ai cryptominer, che utilizzavano server compromessi per estrarre criptovalute senza dover pagare per elettricità, internet o potenza di calcolo. Tuttavia, con l’avvento di AlienFox, gli attacchi opportunistici al cloud non si limitano più solo all’estrazione di criptovalute, ampliando la portata delle minacce.
