Recentemente, o Cado Security Labs descobriu e revelou detalhes de um novo coletor de credenciais baseado em Python chamado “Legion”.
Cíber segurança pesquisadores afirmaram que esta ferramenta de hacking, “Legion” já chegou ao Telegram e está sendo ativamente comercializada no Telegram por seus operadores.
Embora esta ferramenta de hacking tenha sido projetada especificamente para atingir e explorar uma ampla gama de serviços de e-mail, Legion está provavelmente ligado à infame família de malware AndroxGh0st, que ganhou as manchetes pela primeira vez em dezembro de 2022.
Ofertas da Legião
Existem vários módulos incluídos no Legion que são usados para enumerar: –
- Servidores SMTP vulneráveis
- Execução Remota de Código (RCE)
- Explorar versões vulneráveis do Apache
- cPanel de força bruta
- Contas WebHost Manager (WHM) de força bruta
- Interaja com a API do Shodan
- Sequestrar mensagens SMS
- Compromisso Amazon Credenciais de serviços da Web
Além disso, o AlienFox é um conjunto de ferramentas abrangente, e foi identificado que o AndroxGh0st faz parte deste conjunto de ferramentas.
Como esse conjunto de ferramentas é vasto por natureza, ele também fornece aos agentes de ameaças a capacidade de roubar chaves de API e segredos essenciais de serviços em nuvem.
A presença da Legion em vários canais do Telegram, aliada à sua promoção através YouTube vídeos tutoriais, sugere fortemente que esta não é uma tentativa casual ou isolada de espalhar malware, mas sim um esforço generalizado e coordenado.
Qual é a origem?
Embora a origem exata do malware permaneça não verificada, há indicações de que o desenvolvedor por trás dele pode ser indonésio ou estar localizado na Indonésia, com base em comentários e outras evidências linguísticas encontradas em Bahasa Indonesia.
Os pesquisadores da Cado Security emitiram uma recomendação de precaução a todos os usuários de tecnologias e estruturas de servidores web, como o Laravel, para revisarem seus processos e procedimentos de segurança.
Para garantir a máxima proteção de informações confidenciais, como credenciais, os especialistas recomendam armazenar essas informações em um arquivo .env fora dos diretórios do servidor web.
Isto ajudará a impedir o acesso não autorizado a dados críticos, limitando a superfície de ataque potencial que os agentes de ameaças poderiam explorar.
Serviços direcionados
Abaixo, mencionamos a lista completa dos serviços direcionados: –
- Twilio
- Nexmo
- Stripe/Paypal (função API de pagamento)
- Credenciais do console AWS
- Credenciais específicas do AWS SNS, S3 e SES
- Arma postal
- Plivo
- Envio de cliques
- Mandril
- Jato postal
- MensagemBird
- Vonage
- Nexmo
- Exotel
- Um sinal
- Cliquetel
- Tokbox
- Credenciais SMTP
- Credenciais de administração de banco de dados e CMS (CPanel, WHM, PHPmyadmin)
Abaixo, mencionamos a lista das operadoras visadas: –
- Alltel
- Amplificado para celular
- AT&T
- Impulsione o celular
- Cingular
- Grilo
- Einstein PCS
- Corrida
- SunCom
- T móvel
- Fluxo de voz
- Celular dos EUA
- Verizon
- Virgem
Além disso, um link GitHub Gist aparece no perfil de um usuário chamado “Galeh Rizky” que reside na Indonésia, de acordo com seu perfil.
Embora a relação exata entre Galeh Rizky e Legion ainda não esteja clara neste momento, o mais chocante é a presença do seu código na amostra detectada.
Galeh Rizky pode ser o desenvolvedor por trás do Legion, ou uma coincidência que seu código tenha sido usado sem seu conhecimento ou consentimento.
Este malware depende principalmente de configurações incorretas em tecnologias e estruturas de servidores web. É por isso que é altamente recomendável verificar novamente todos os mecanismos de segurança para evitar futuras explorações.
