Un recolector de credenciales emergente basado en Python y una herramienta de piratería llamada Legión se comercializa a través de Telegram como una forma para que los actores de amenazas ingresen a varios servicios en línea para una mayor explotación.
Legión, según Laboratorios Cadoincluye módulos para enumerar servidores SMTP vulnerables, realizar ataques de ejecución remota de código (RCE), explotar versiones sin parches de Apache y cuentas cPanel y WebHost Manager (WHM) de fuerza bruta.
Se dice que el malware tiene similitudes con otra familia de malware llamada AndroxGh0st que fue documentado por primera vez por el proveedor de servicios de seguridad en la nube Lacework en diciembre de 2022.
La firma de seguridad cibernética SentinelOne, en un análisis publicado a fines del mes pasado, reveló que AndroxGh0st es parte de un conjunto de herramientas integral llamado AlienFox que se ofrece a los actores de amenazas para robar claves API y secretos de los servicios en la nube.
“Legion parece ser parte de una generación emergente de utilidades de recolección de credenciales/spam centradas en la nube”, dijo el investigador de seguridad Matt Muir a The Hacker News. “Los desarrolladores de estas herramientas a menudo roban el código de los demás, lo que dificulta la atribución a un grupo en particular”.
Además de usar Telegram como un punto de exfiltración de datos, Legion está diseñado para explotar servidores web que ejecutan sistemas de administración de contenido (CMS), PHP o marcos basados en PHP como Laravel.
“Puede recuperar credenciales para una amplia gama de servicios web, como proveedores de correo electrónico, proveedores de servicios en la nube, sistemas de administración de servidores, bases de datos y plataformas de pago como Stripe y PayPal”, dijo Cado Labs.
Algunos de los otros servicios específicos incluyen SendGrid, Twilio, Nexmo, AWS, Mailgun, Plivo, ClickSend, Mandrill, Mailjet, MessageBird, Vonage, Exotel, OneSignal, Clickatell y TokBox.
El objetivo principal del malware es permitir a los actores de amenazas secuestrar los servicios y armar la infraestructura para ataques de seguimiento, incluido el montaje de campañas de phishing oportunistas.
El objetivo principal del malware es permitir que los actores de amenazas secuestren los servicios y conviertan la infraestructura en un arma para ataques de seguimiento, incluido el montaje de spam masivo y campañas de phishing oportunistas.
La firma de ciberseguridad dijo que también descubrió un canal de YouTube que contiene videos tutoriales sobre cómo usar Legion, lo que sugiere que la “herramienta se distribuye ampliamente y es probable que sea un malware pagado”. El canal de YouTube, que se creó el 15 de junio de 2021, permanece activo al momento de escribir este artículo.
Además, Legion recupera las credenciales de AWS de servidores web inseguros o mal configurados y envía mensajes SMS no deseados a usuarios de redes móviles de EE. UU. como AT&T, Sprint, T-Mobile, Verizon y Virgin.
Domina el arte de la recolección de inteligencia de la Dark Web
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. ¡Únase a este seminario web dirigido por expertos!
“Para hacer esto, el malware recupera el código de área de un estado de EE. UU. elegido por el usuario del sitio web www.randomphonenumbers.com”, dijo el investigador de seguridad Matt Muir. “Luego se utiliza una función de generador de números rudimentaria para crear una lista de números de teléfono para apuntar”.
Además, Legion puede recuperar credenciales de AWS de servidores web inseguros o mal configurados y enviar mensajes SMS no deseados a usuarios de redes móviles de EE. UU. como AT&T, Sprint, T-Mobile, Verizon y Virgin aprovechando las credenciales de SMTP robadas.
“Para hacer esto, el malware recupera el código de área de un estado de EE. UU. elegido por el usuario del sitio web www.randomphonenumbers[.]com”, dijo Muir. “Luego se usa una función de generador de números rudimentario para crear una lista de números de teléfono para apuntar”.
Otro aspecto notable de Legion es su capacidad para explotar vulnerabilidades conocidas de PHP para registrar un shell web para acceso remoto persistente o ejecutar código malicioso.
Los orígenes del actor de amenazas detrás de la herramienta, que se conoce con el alias “forzatools” en Telegram, siguen siendo desconocidos, aunque la presencia de comentarios en idioma indonesio en el código fuente indica que el desarrollador puede ser indonesio o tener su sede en el país.
“Dado que este malware se basa en gran medida en configuraciones incorrectas en las tecnologías y marcos de servidores web como Laravel, se recomienda que los usuarios de estas tecnologías revisen sus procesos de seguridad existentes y se aseguren de que los secretos se almacenen adecuadamente”, dijo Muir.
About the Author
