Malware AndroxGh0st tem como alvo aplicativos Laravel para roubar credenciais de nuvem<\/p>\n
\u00a0<\/p>\n
Os avan\u00e7os tecnol\u00f3gicos proporcionaram in\u00fameras oportunidades, mas tamb\u00e9m abriram as portas para uma nova gama de amea\u00e7as cibern\u00e9ticas. Entre essas amea\u00e7as est\u00e1 o malware AndroxGh0st, uma ferramenta perigosa que tem como alvo os aplicativos Laravel, visando roubar dados confidenciais, conforme revelado por pesquisadores de seguran\u00e7a cibern\u00e9tica.<\/p>\n
\u00a0<\/p>\n
De acordo com Kashinath T Pattan, pesquisador do Juniper Threat Labs, o AndroxGh0st \u00e9 uma ferramenta multifacetada, capaz de extrair informa\u00e7\u00f5es vitais de arquivos .env, expondo detalhes de login associados a servi\u00e7os em nuvem, como Amazon Web Services (AWS) e Twilio. Classificado como um cracker SMTP, o malware utiliza diversas estrat\u00e9gias, incluindo a explora\u00e7\u00e3o de credenciais, implanta\u00e7\u00e3o de web shell e verifica\u00e7\u00e3o de vulnerabilidades para atingir seus objetivos.<\/p>\n
\u00a0<\/p>\n
Identificado desde pelo menos 2022, o AndroxGh0st tem sido utilizado por agentes de amea\u00e7as para comprometer ambientes Laravel, resultando no roubo de credenciais de aplicativos baseados em nuvem. O modus operandi desse malware envolve a explora\u00e7\u00e3o de falhas de seguran\u00e7a conhecidas em sistemas como Apache HTTP Server, Laravel Framework e PHPUnit. Essas vulnerabilidades s\u00e3o exploradas n\u00e3o apenas para obter acesso inicial, mas tamb\u00e9m para permitir escalonamento e persist\u00eancia de privil\u00e9gios.<\/p>\n
\u00a0<\/p>\n
O malware AndroxGh0st foi recentemente associado a uma preocupante estrat\u00e9gia de forma\u00e7\u00e3o de botnets. Ag\u00eancias de seguran\u00e7a cibern\u00e9tica e de intelig\u00eancia dos EUA emitiram alertas sobre a utiliza\u00e7\u00e3o do AndroxGh0st para criar botnets visando a identifica\u00e7\u00e3o e explora\u00e7\u00e3o de v\u00edtimas em redes alvo. Utilizando vulnerabilidades como CVE-2021-41773, CVE-2017-9841 e CVE-2018-15133, o AndroxGh0st \u00e9 capaz de assumir o controle de sistemas vulner\u00e1veis, estabelecendo um acesso persistente.<\/p>\n
\u00a0<\/p>\n
O principal objetivo do AndroxGh0st \u00e9 exfiltrar dados confidenciais de v\u00e1rias fontes, incluindo arquivos .env, bancos de dados e credenciais de servi\u00e7os em nuvem. Isso permite que os agentes de amea\u00e7as realizem atividades adicionais nos sistemas comprometidos, aumentando ainda mais os riscos de seguran\u00e7a.<\/p>\n
\u00a0<\/p>\n
Observa-se um aumento na atividade relacionada \u00e0 explora\u00e7\u00e3o da vulnerabilidade CVE-2017-9841, ressaltando a import\u00e2ncia da atualiza\u00e7\u00e3o r\u00e1pida dos sistemas para evitar a explora\u00e7\u00e3o por parte de agentes maliciosos. As tentativas de ataque visando infraestruturas de honeypot revelaram uma distribui\u00e7\u00e3o global, com origem principalmente nos EUA, Reino Unido, China, Holanda, Alemanha, Bulg\u00e1ria, Kuwait, R\u00fassia, Est\u00f4nia e \u00cdndia.<\/p>\n
\u00a0<\/p>\n
Este cen\u00e1rio preocupante \u00e9 agravado pela descoberta de outras atividades maliciosas, como o uso de servidores WebLogic vulner\u00e1veis na Coreia do Sul como servidores de download para a distribui\u00e7\u00e3o de malware, como o z0Miner, e a infiltra\u00e7\u00e3o de inst\u00e2ncias da AWS para implantar bin\u00e1rios associados a redes de entrega de conte\u00fado descentralizadas.<\/p>\n
\u00a0<\/p>\n
Empresas de seguran\u00e7a cibern\u00e9tica est\u00e3o desenvolvendo ferramentas para enfrentar essas amea\u00e7as em constante evolu\u00e7\u00e3o. A ferramenta CloudGrappler, lan\u00e7ada pela empresa de intelig\u00eancia de amea\u00e7as Permiso, \u00e9 um exemplo disso. Constru\u00edda com base no cloudgrep, o CloudGrappler verifica servi\u00e7os em nuvem como AWS e Azure em busca de eventos maliciosos relacionados a atores de amea\u00e7as conhecidos.<\/p>\n
\u00a0<\/p>\n
Em um ambiente onde os ataques cibern\u00e9ticos s\u00e3o cada vez mais sofisticados e difundidos, \u00e9 essencial que as organiza\u00e7\u00f5es adotem medidas proativas de seguran\u00e7a. Isso inclui a atualiza\u00e7\u00e3o regular de software, o monitoramento cont\u00ednuo de atividades suspeitas e o investimento em solu\u00e7\u00f5es de seguran\u00e7a robustas. Somente atrav\u00e9s de uma abordagem abrangente e vigilante, podemos mitigar os riscos associados \u00e0s amea\u00e7as cibern\u00e9ticas emergentes.<\/p>\n
\u00a0<\/p>\n