Ferramenta criminosa busca servidores vulneráveis para roubar credenciais

A falta de configuração adequada em servidores, levando à exposição de dados e informações, é a aposta de uma nova ferramenta cibercriminosa, que faz pesquisas online em busca de infraestruturas baseadas em 18 sistemas para localizar aquelas que estão com problemas. O foco está no roubo de credenciais e segredos de autenticação que, mais tarde, possam ser usados em ataques contra as organizações vulneráveis.

• Ransomware contra servidores Linux aumentou 75% em 2022
• Criminosos se inspiram no e-commerce e usam dark web para se profissionalizar

O kit modular se chama AlienFox e está sendo vendido pelos bandidos por meio do Telegram, entregando a funcionalidade de forma simples até mesmo para quem não tem muito conhecimento técnico. Pelo menos três versões diferentes do pacote estariam sendo comercializados pelos bandidos, com foco em sistemas populares como Wordpress, Joomla, Drupal, Opencart, Magento e outros; enquanto isso, do outro lado, os criminosos estão de olho em dados de serviços populares como AWS, Office365, Google Workspace, Bluemail, Zoho, Twilio e outros.

O alerta da empresa de cibersegurança SentinelOne aponta ainda para um malware em pleno desenvolvimento, que pode ganhar novas capacidades ou atingir mais plataformas no futuro. Como está, ele é capaz de localizar erros de configuração a partir de arquivos que não deveriam estar expostos, justamente aqueles que guardam as chaves de autenticação, tokens, segredos de API e outras informações relevantes.

Outras funcionalidades do AlienFox envolvem a busca por outras vulnerabilidades de segurança, como aquelas que permitem escalar privilégios, ou o estabelecimento de permanência nos servidores para que o acesso possa ser vendido posteriormente. O software malicioso, ainda, é capaz de testar as credenciais obtidas contra as próprias infraestruturas, garantindo que elas funcionem antes de serem enviadas para os bandidos.

A SentinelOne também aponta para um desenvolvimento contínuo da ferramenta de exploração, com versões posteriores recebendo melhor performance, novas variáveis e um uso mais adequado de diferentes núcleos de processamento. Além disso, estão sendo adicionados recursos que permitem a busca por frases de autenticação de carteiras de Bitcoin e Ethereum, além de um validador de credenciais em sites de comércio eletrônico como a Amazon.

Na visão dos especialistas, estes últimos dois aspectos demonstram que os criminosos responsáveis pelo AlienFox estão expandindo seu foco de atuação, seja como forma de vender a ferramenta a mais gente ou simplesmente obter fundos que financiem seu trabalho. Enquanto isso, o trabalho em andamento indica que a ferramenta está sendo bem aceita, motivando os responsáveis a melhorarem seu funcionamento.

A recomendação de segurança é pela atenção na configuração de servidores, principalmente aqueles que hospedarem dados pessoais ou segredos de autenticação. Controles de acesso devidos e permissões adequadas ajudam a garantir que apenas quem deve ter acesso às informações fará isso, enquanto a utilização de autenticação em múltipla etapa impede que mesmo credenciais roubadas possam ser usadas para acesso por terceiros.

Fonte: SentinelOne