La botnet Androxgh0st fue el tema con aviso urgente del FBI y la Agencia de Seguridad de Infraestructura y Ciberseguridad de EE. UU. (CISA). Este último alerta sobre el uso de la botnet para robar credenciales en la nube en varias plataformas, incluidas AWS, SendGrid y Microsoft Office 365. Identificado inicialmente por Lacework Labs en 2022, el malware Androxgh0st escrito en Python es capaz de infiltrarse y explotar vulnerabilidades en varios marcos y servidores web, dirigidos principalmente a archivos .env que almacenan credenciales confidenciales en la nube. Androxgh0st busca sitios web y servidores que utilizan versiones antiguas de PHPUnit, marcos web PHP y servidores web Apache afectados por vulnerabilidades RCE (ejecución remota de código). Según el análisis de Lacework Labs, aproximadamente el 68% del abuso SMTP de Androxgh0st proviene de sistemas Windows y el 87% de los ataques se ejecutan con código Python. Según CISA, las solicitudes web inusuales a servidores específicos son un signo revelador de la existencia de malware.

Una vez que identifica un sistema vulnerable, Androxgh0st extrae las credenciales de los archivos .env, que a menudo contienen claves de acceso a aplicaciones líderes como Amazon Web Services (AWS), Microsoft Office 365, SendGrid y Twilio. El malware también puede replicarse utilizando credenciales de AWS comprometidas para crear nuevos usuarios e instancias, lo que le permite ampliar su alcance y buscar objetivos más vulnerables en Internet. CISA y el FBI han instado a los proveedores de servicios a actualizar sus versiones de Apache, verificar periódicamente las credenciales almacenadas en archivos .env y configurar servidores para rechazar automáticamente cualquier solicitud de acceso a los recursos, a menos que se autorice específicamente. Según los expertos, la rápida propagación de este malware se debe a una mala gestión de los parches en las empresas y a la cantidad de servidores que ejecutan software obsoleto. Según datos de Fortiguarden su punto máximo a principios de enero, casi 50.000 dispositivos fueron infectados, pero ese número se redujo a alrededor de 9.300.

Androxgh0st, también usado para robar datos

Además de robar credenciales para lanzar campañas de spam, los atacantes pueden utilizar estas credenciales para recopilar información de identificación personal (PII) de los servicios. Por ejemplo, la industria de la criptografía se ha visto particularmente afectada por este tipo de ataque, ya que los atacantes no apuntan a los activos digitales (almacenados en billeteras fuera de línea separadas) sino a la información PII de los usuarios almacenada en servicios de terceros como SendGrid y Twilio. Los delincuentes que recopilan estos datos pueden utilizarlos para crear archivos conocidos como "fulz", que contienen toda la información personal necesaria para suplantar y abrir líneas de crédito, vendidos en mercados de la red oscura o utilizados para llevar a cabo sofisticados ataques de phishing, utilizando datos robados. datos para construir una narrativa creíble.