Penka Hristovska
Actualizado en: Enero 17, 2024
Los piratas informáticos detrás del malware Androxgh0st están creando una botnet capaz de robar credenciales de la nube de las principales plataformas, dijeron el martes agencias cibernéticas estadounidenses.
La Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA) y la Oficina Federal de Investigaciones (FBI) publicaron un asesoramiento conjunto sobre los resultados de las investigaciones en curso sobre las estrategias empleadas por los piratas informáticos que utilizan el malware.
Este malware fue identificado por primera vez en diciembre de 2022 por Lacework Labs.
Según las agencias, los piratas informáticos están utilizando Androxgh0st para crear una botnet "para la identificación y explotación de víctimas en redes objetivo". La botnet busca archivos .env, a los que suelen apuntar los ciberdelincuentes porque contienen credenciales y tokens. Las agencias dijeron que estas credenciales provienen de "aplicaciones de alto perfil", como Microsoft Office 365, SendGrid, Amazon Web Services y Twilio.
"El malware Androxgh0st también admite numerosas funciones capaces de abusar del Protocolo simple de transferencia de correo (SMTP), como escanear y explotar credenciales expuestas e interfaces de programación de aplicaciones (API) e implementación de shell web", explicaron el FBI y CISA.
El malware se utiliza en campañas destinadas a identificar y dirigirse a sitios web con vulnerabilidades particulares. La botnet utiliza el marco Laravel, una herramienta para desarrollar aplicaciones web, para buscar sitios web. Una vez que encuentran los sitios web, los piratas informáticos intentan determinar si se puede acceder a ciertos archivos y si contienen credenciales.
El aviso de CISA y el FBI apunta a una vulnerabilidad crítica y parcheada hace mucho tiempo en Laravel, identificada como CVE-2018-15133, que la botnet explota para acceder a credenciales, como nombres de usuario y contraseñas para servicios como correo electrónico (usando SMTP) y cuentas de AWS.
"Si los actores de amenazas obtienen credenciales para cualquier servicio... pueden usar estas credenciales para acceder a datos confidenciales o utilizar estos servicios para realizar operaciones maliciosas adicionales", se lee en el aviso.
“Por ejemplo, cuando los actores de amenazas identifican y comprometen con éxito las credenciales de AWS de un sitio web vulnerable, se les ha observado intentando crear nuevos usuarios y políticas de usuario. Además, se ha observado que los actores de Andoxgh0st crean nuevas instancias de AWS para realizar actividades de escaneo adicionales”, explican las agencias.
- Distribución de relaciones públicas y contenido potenciado por SEO. Consiga amplificado hoy.
- PlatoData.Network Vertical Generativo Ai. Empodérate. Accede Aquí.
- PlatoAiStream. Inteligencia Web3. Conocimiento amplificado. Accede Aquí.
- PlatoESG. Carbón, tecnología limpia, Energía, Ambiente, Solar, Gestión de residuos. Accede Aquí.
- PlatoSalud. Inteligencia en Biotecnología y Ensayos Clínicos. Accede Aquí.
- Fuente: https://www.safetydetectives.com/news/fbi-cisa-warn-against-credential-stealing-androxgh0st-botnet/
