documentado por primera vez<\/a> por el proveedor de servicios de seguridad en la nube Lacework en diciembre de 2022.<\/p>\nLa firma de seguridad cibern\u00e9tica SentinelOne, en un an\u00e1lisis publicado a fines del mes pasado, revel\u00f3 que AndroxGh0st es parte de un conjunto de herramientas integral llamado AlienFox que se ofrece a los actores de amenazas para robar claves API y secretos de los servicios en la nube.<\/p>\n
“Legion parece ser parte de una generaci\u00f3n emergente de utilidades de recolecci\u00f3n de credenciales\/spam centradas en la nube”, dijo el investigador de seguridad Matt Muir a The Hacker News. “Los desarrolladores de estas herramientas a menudo roban el c\u00f3digo de los dem\u00e1s, lo que dificulta la atribuci\u00f3n a un grupo en particular”.<\/p>\n
Adem\u00e1s de usar Telegram como un punto de exfiltraci\u00f3n de datos, Legion est\u00e1 dise\u00f1ado para explotar servidores web que ejecutan sistemas de administraci\u00f3n de contenido (CMS), PHP o marcos basados \u200b\u200ben PHP como Laravel.<\/p>\n
“Puede recuperar credenciales para una amplia gama de servicios web, como proveedores de correo electr\u00f3nico, proveedores de servicios en la nube, sistemas de administraci\u00f3n de servidores, bases de datos y plataformas de pago como Stripe y PayPal”, dijo Cado Labs.<\/p>\n
Algunos de los otros servicios espec\u00edficos incluyen SendGrid, Twilio, Nexmo, AWS, Mailgun, Plivo, ClickSend, Mandrill, Mailjet, MessageBird, Vonage, Exotel, OneSignal, Clickatell y TokBox.<\/p>\n
El objetivo principal del malware es permitir a los actores de amenazas secuestrar los servicios y armar la infraestructura para ataques de seguimiento, incluido el montaje de campa\u00f1as de phishing oportunistas.<\/p>\n
El objetivo principal del malware es permitir que los actores de amenazas secuestren los servicios y conviertan la infraestructura en un arma para ataques de seguimiento, incluido el montaje de spam masivo y campa\u00f1as de phishing oportunistas.<\/p>\n
La firma de ciberseguridad dijo que tambi\u00e9n descubri\u00f3 un canal de YouTube que contiene videos tutoriales sobre c\u00f3mo usar Legion, lo que sugiere que la “herramienta se distribuye ampliamente y es probable que sea un malware pagado”. El canal de YouTube, que se cre\u00f3 el 15 de junio de 2021, permanece activo al momento de escribir este art\u00edculo.<\/p>\n
Adem\u00e1s, Legion recupera las credenciales de AWS de servidores web inseguros o mal configurados y env\u00eda mensajes SMS no deseados a usuarios de redes m\u00f3viles de EE. UU. como AT&T, Sprint, T-Mobile, Verizon y Virgin.<\/p>\n
PR\u00d3XIMO SEMINARIO WEB<\/span><\/p>\nDomina el arte de la recolecci\u00f3n de inteligencia de la Dark Web<\/p>\n
Aprenda el arte de extraer inteligencia de amenazas de la web oscura. \u00a1\u00danase a este seminario web dirigido por expertos!<\/p>\n
Guardar mi asiento!<\/a><\/div>\n“Para hacer esto, el malware recupera el c\u00f3digo de \u00e1rea de un estado de EE. UU. elegido por el usuario del sitio web www.randomphonenumbers.com”, dijo el investigador de seguridad Matt Muir. “Luego se utiliza una funci\u00f3n de generador de n\u00fameros rudimentaria para crear una lista de n\u00fameros de tel\u00e9fono para apuntar”.<\/p>\n
Adem\u00e1s, Legion puede recuperar credenciales de AWS de servidores web inseguros o mal configurados y enviar mensajes SMS no deseados a usuarios de redes m\u00f3viles de EE. UU. como AT&T, Sprint, T-Mobile, Verizon y Virgin aprovechando las credenciales de SMTP robadas.<\/p>\n
“Para hacer esto, el malware recupera el c\u00f3digo de \u00e1rea de un estado de EE. UU. elegido por el usuario del sitio web www.randomphonenumbers[.]com”, dijo Muir. “Luego se usa una funci\u00f3n de generador de n\u00fameros rudimentario para crear una lista de n\u00fameros de tel\u00e9fono para apuntar”.<\/p>\n
Otro aspecto notable de Legion es su capacidad para explotar vulnerabilidades conocidas de PHP para registrar un shell web para acceso remoto persistente o ejecutar c\u00f3digo malicioso.<\/p>\n
Los or\u00edgenes del actor de amenazas detr\u00e1s de la herramienta, que se conoce con el alias “forzatools” en Telegram, siguen siendo desconocidos, aunque la presencia de comentarios en idioma indonesio en el c\u00f3digo fuente indica que el desarrollador puede ser indonesio o tener su sede en el pa\u00eds.<\/p>\n
“Dado que este malware se basa en gran medida en configuraciones incorrectas en las tecnolog\u00edas y marcos de servidores web como Laravel, se recomienda que los usuarios de estas tecnolog\u00edas revisen sus procesos de seguridad existentes y se aseguren de que los secretos se almacenen adecuadamente”, dijo Muir.<\/p>\n
<\/p>\n
![\"Herramienta](\"https:\/\/thehackernews.com\/new-images\/img\/b\/R29vZ2xl\/AVvXsEit-5YE7WRU9hskLEOZdR5LQoefBcBzMPMW1F481GqCM2tL21OiTDYhWxVeryti7hNA5v4w7zvIT3rn8XUof48ghC-hOxB7KN2QzZlIWmtaYmSQSgdpAEU6tDJLE8rOyGyP3ptxhdeUD3DaP9OFJkQJqqoQt__vF8_OLKS7VQFy-gMmhtFEFIX7goeI\/s728-e3650\/hacking.png\" "\\"Herramienta")
<\/div>\n