I ricercatori di SentinelOne hanno scoperto un nuovo “coltellino svizzero” che permette di effettuare la scansione di popolari servizi cloud per individuare eventuali errori di configurazione e rubare le credenziali di login. AlienFox è un toolkit modulare che viene venduto dai cybercriminali attraverso un canale privato di Telegram. Attualmente sono in circolazione tre versioni.
AlienFox: nuova arma digitale
AlienFox è un insieme di tool open source che possono essere modificati in base alle necessità. I cybercriminali usano AlienFox per individuare host erroneamente configurati, sfruttando piattaforma di scanning, come LeakIX e SecurityTrails. Attraverso vari script vengono quindi estratte le informazioni sensibili, come chiavi API, credenziali degli account e token di autenticazione.
L’ultima versione può stabilire la persistenza ed effettuare l’escalation di privilegi su Amazon Web Services. Può inoltre utilizzare gli account compromessi per campagne di spam. SentinelOne ha scoperto che i server più colpiti sono quelli che ospitano Laravel, Drupal, Joomla, Magento, Opencart, Prestashop e WordPress. I servizi cloud più colpiti sono invece 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office 365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra e Zoho.
La versione più recente (v4) è quella più pericolosa, in quanto può verificare se un indirizzo email è associato ad un account Amazon e individuare la frase di recupero (seed) dei wallet di criptovalute (Bitcoin e Ethereum). AlienFox viene continuamente aggiornato, quindi verranno sicuramente aggiunte nuove funzionalità.