Malware AndroxGh0st tem como alvo aplicativos Laravel para roubar credenciais de nuvem
Os avanços tecnológicos proporcionaram inúmeras oportunidades, mas também abriram as portas para uma nova gama de ameaças cibernéticas. Entre essas ameaças está o malware AndroxGh0st, uma ferramenta perigosa que tem como alvo os aplicativos Laravel, visando roubar dados confidenciais, conforme revelado por pesquisadores de segurança cibernética.
De acordo com Kashinath T Pattan, pesquisador do Juniper Threat Labs, o AndroxGh0st é uma ferramenta multifacetada, capaz de extrair informações vitais de arquivos .env, expondo detalhes de login associados a serviços em nuvem, como Amazon Web Services (AWS) e Twilio. Classificado como um cracker SMTP, o malware utiliza diversas estratégias, incluindo a exploração de credenciais, implantação de web shell e verificação de vulnerabilidades para atingir seus objetivos.
Identificado desde pelo menos 2022, o AndroxGh0st tem sido utilizado por agentes de ameaças para comprometer ambientes Laravel, resultando no roubo de credenciais de aplicativos baseados em nuvem. O modus operandi desse malware envolve a exploração de falhas de segurança conhecidas em sistemas como Apache HTTP Server, Laravel Framework e PHPUnit. Essas vulnerabilidades são exploradas não apenas para obter acesso inicial, mas também para permitir escalonamento e persistência de privilégios.
O malware AndroxGh0st foi recentemente associado a uma preocupante estratégia de formação de botnets. Agências de segurança cibernética e de inteligência dos EUA emitiram alertas sobre a utilização do AndroxGh0st para criar botnets visando a identificação e exploração de vítimas em redes alvo. Utilizando vulnerabilidades como CVE-2021-41773, CVE-2017-9841 e CVE-2018-15133, o AndroxGh0st é capaz de assumir o controle de sistemas vulneráveis, estabelecendo um acesso persistente.
O principal objetivo do AndroxGh0st é exfiltrar dados confidenciais de várias fontes, incluindo arquivos .env, bancos de dados e credenciais de serviços em nuvem. Isso permite que os agentes de ameaças realizem atividades adicionais nos sistemas comprometidos, aumentando ainda mais os riscos de segurança.
Observa-se um aumento na atividade relacionada à exploração da vulnerabilidade CVE-2017-9841, ressaltando a importância da atualização rápida dos sistemas para evitar a exploração por parte de agentes maliciosos. As tentativas de ataque visando infraestruturas de honeypot revelaram uma distribuição global, com origem principalmente nos EUA, Reino Unido, China, Holanda, Alemanha, Bulgária, Kuwait, Rússia, Estônia e Índia.
Este cenário preocupante é agravado pela descoberta de outras atividades maliciosas, como o uso de servidores WebLogic vulneráveis na Coreia do Sul como servidores de download para a distribuição de malware, como o z0Miner, e a infiltração de instâncias da AWS para implantar binários associados a redes de entrega de conteúdo descentralizadas.
Empresas de segurança cibernética estão desenvolvendo ferramentas para enfrentar essas ameaças em constante evolução. A ferramenta CloudGrappler, lançada pela empresa de inteligência de ameaças Permiso, é um exemplo disso. Construída com base no cloudgrep, o CloudGrappler verifica serviços em nuvem como AWS e Azure em busca de eventos maliciosos relacionados a atores de ameaças conhecidos.
Em um ambiente onde os ataques cibernéticos são cada vez mais sofisticados e difundidos, é essencial que as organizações adotem medidas proativas de segurança. Isso inclui a atualização regular de software, o monitoramento contínuo de atividades suspeitas e o investimento em soluções de segurança robustas. Somente através de uma abordagem abrangente e vigilante, podemos mitigar os riscos associados às ameaças cibernéticas emergentes.
Fonte: https://thehackernews.com/2024/03/androxgh0st-malware-targets-laravel.html
