0
0
Os agentes de ameaças estão vendendo um novo coletor de credenciais e hacktool por meio de um canal do Telegram, que pode explorar vários serviços baseados na Web para roubar credenciais. Ele também tem a capacidade de bônus para lançar ataques de spam baseados em SMS que visam dispositivos móveis baseados nos EUA também, descobriram os pesquisadores.
Pesquisadores da Cado Security descobriram o ladrão de credenciais baseado em Python, chamado Legion, que tem links para a família de malware AndroxGh0st e outro malware descoberto anteriormente, eles revelaram em um post publicado hoje.
O principal meio de ataque do Legion é comprometer servidores Web mal configurados que executam sistemas de gerenciamento de conteúdo (CMS), PHP ou estruturas baseadas em PHP, como o Laravel, observaram os pesquisadores. Uma vez instalado, ele contém vários métodos para recuperar credenciais dos servidores: direcionando o próprio software do servidor Web, linguagens de script ou estruturas nas quais o servidor está sendo executado. O malware tenta solicitar recursos desses conhecidos por conter segredos, analisa-os e salva os segredos em arquivos de resultados classificados por serviço, disseram os pesquisadores.
“Um desses recursos é o arquivo de variáveis de ambiente .env, que geralmente contém segredos específicos de aplicativos para o Laravel e outros aplicativos da Web baseados em PHP”, escreveu Matt Muir, pesquisador de inteligência de ameaças da Cado Security, na análise. “O malware mantém uma lista de caminhos prováveis para este arquivo, bem como arquivos e diretórios semelhantes para outras tecnologias da Web.”
A Legion então marcha para roubar credenciais de inúmeras fontes e serviços baseados na Web – como provedores de e-mail, provedores de serviços em nuvem, sistemas de gerenciamento de servidores, bancos de dados e plataformas de pagamento como Stripe e PayPal, disseram os pesquisadores. E o Legion pode obter credenciais de força bruta para a Amazon Web Services (AWS), o que é consistente com funcionalidade semelhante no AndroxGh0st, de acordo com a análise desse malware por pesquisadores da Lacework, disse Muir.
Além do roubo de credenciais, o Legion inclui a funcionalidade tradicional de hacktool que pode explorar vulnerabilidades PHP bem conhecidas para registrar um Webshell ou executar remotamente código malicioso, diz Muir ao Dark Reading.
“É uma ferramenta de abuso SMTP principalmente, mas depende da exploração oportunista de serviços da Web mal configurados para coletar credenciais para esse abuso”, diz ele. “Ele também agrupa funcionalidades adicionais tradicionalmente encontradas em hacktools mais comuns, como a capacidade de executar código de exploração específico do servidor da Web e credenciais de conta de força bruta.”
Como mencionado, um aspecto único do malware é que, juntamente com o roubo de credenciais e hacking geral, ele também pode enviar automaticamente mensagens de spam SMS para usuários de redes móveis baseados nos Estados Unidos, incluindo assinantes da AT & T, Boost Mobile, Cingular, Sprint, Verizon e muito mais. Esse recurso não é visto com frequência, se é que alguma vez, em um harvester de credenciais, observaram os pesquisadores.
Esta função é bastante básica: recupera o código de área do site www.randomphonenumbers.com e, em seguida, tenta diferentes combinações de números para encontrar um número de telefone viável.
“Para recuperar o código de área, o Legion usa a biblioteca de análise HTML BeautifulSoup do Python”, escreveu Muir. “Uma função rudimentar de gerador de números é então usada para construir uma lista de números de telefone para segmentar.”
Para enviar as próprias mensagens SMS, o malware verifica se há credenciais SMTP salvas recuperadas por um dos módulos de coleta de credenciais, acrescentou.
Distribuição generalizada de malware via Telegram
Um grupo público do Telegram com mais de 1.000 membros aos quais os pesquisadores do Cado obtiveram acesso está distribuindo o Legion, que também tem um canal dedicado no YouTube contendo vídeos tutoriais sobre o malware, disseram os pesquisadores.
O malware também está sendo anunciado por outros grupos do Telegram para atingir cerca de 5.000 usuários no total. Esses fatores combinados indicam que a Legion já tem seguidores leais e provavelmente é uma oferta de compra sob um modelo de licença perpétua, disse Muir.
“Embora nem todos os membros tenham comprado uma licença para o Legion, esses números mostram que o interesse em tal ferramenta é alto”, escreveu ele no post. “Pesquisas relacionadas indicam que há várias variantes desse malware, provavelmente com seus próprios canais de distribuição”.
Embora os pesquisadores não tenham identificado a fonte definitiva do Legion, vários comentários em indonésio no canal do YouTube sugerem que o desenvolvedor pode ser indonésio ou baseado na Indonésia, e referências ao usuário com o identificador “my13gion” no grupo do Telegram também oferecem pistas sobre sua fonte, disseram eles.
Além disso, em uma função dedicada à exploração do PHP, um link para um GitHub Gist leva a um usuário chamado Galeh Rizky, com um perfil sugerindo que esse usuário está localizado na Indonésia. Ainda assim, não está claro se Rizky é o desenvolvedor por trás do Legion, ou se seu código é encontrado na amostra analisada pelo Cado, disseram os pesquisadores.
Como mitigar e avaliar o risco cibernético da Legion
Os pesquisadores incluíram uma lista de indicadores de comprometimento (IoCs), bem como uma lista de operadoras de telefonia móvel dos EUA direcionadas no post do blog para ajudar as organizações ou usuários de dispositivos a saber se foram comprometidos pelo Legion ou poderiam ser alvo do malware, respectivamente.
Dada a dependência do malware em configurações incorretas em servidores Web ou estruturas para acessar sistemas, Cado recomenda que as organizações e outros usuários dessas tecnologias revisem os processos de segurança existentes e garantam que os segredos sejam armazenados adequadamente. Além disso, se as credenciais forem armazenadas em um arquivo .env, esse arquivo deve estar fora dos diretórios do servidor da Web para que fique inacessível a partir da Web, disseram os pesquisadores.
As organizações que usam provedores de nuvem, como AWS e Microsoft Azure, também devem ter em mente suas obrigações de responsabilidade compartilhada sob os termos de uso dessas plataformas para garantir que seus servidores Web sejam configurados corretamente, diz Muir. Um comprometimento do malware “provavelmente se enquadraria no âmbito do usuário em um contexto de responsabilidade compartilhada”, diz ele.
Além disso, os usuários da AWS também devem estar cientes da segmentação da Legion para o gerenciamento de acesso à identidade (IAM) e o serviço de e-mail simples (SES) da plataforma em sua tentativa de obter credenciais da AWS. Para mitigar esse risco, as organizações devem procurar contas de usuário que mostrem uma alteração no código de registro de usuário do IAM para incluir uma tag “Owner” com o valor codificado “ms.boharas”, que é uma marca registrada do malware, disseram os pesquisadores.
FONTE: DARK READING