Androxgh0st Malware: Everything You Need to Know

Androxgh0st es un malware con scripts basado en Python que se dirige a aplicaciones que usan Laravel (como AWS, Twilio, Office 365 y SendGrid) escaneando y extrayendo información de .env Archivos. Esta forma de malware puede extraer información confidencial, como detalles de inicio de sesión, y puede descifrar el Protocolo simple de transferencia de correo (SMTP) para explotar las API y el desarrollo de shell sitio web.

Solicite una demostración seguridad de terminales Guía del Comprador

Cómo funciona Androxgh0st

Androxgh0st se dirige principalmente a la aplicación Laravel, que es un marco PHP líder empleado en muchas aplicaciones sitio web. Escaneando archivos .env archivos, Androxgh0st puede identificar y extraer información confidencial de estos archivos, lo más urgente son los detalles de inicio de sesión para plataformas como Amazon Sitio web Services.

Androxgh0st trabaja en varias fases:

  • Paso uno, escaneo de botnets: Usando una botnet, Androxgh0st buscará cualquier sitio web que esté empleando activamente el marco Laravel. Al identificar los sitios con este marco sitio web de aplicación, pueden crear una lista de posibles sitios web a los que dirigir.
  • Paso dos, escaneo de .env: En cada uno de los sitios web identificados, Androxgh0st escaneará el nivel raíz del dominio, en busca de cualquier .env expuesto archivos que aún incluyen datos confidenciales o credenciales de inicio de sesión.
  • Paso tres, accediendo a: Los actores de amenazas envían una solicitud GET o POST para luego revisar contraseñas, nombres de usuario o claves de inicio de sesión conectadas al sitio web. Las solicitudes POST y GET entrantes son uno de los principales indicadores de amenazas de que Androxgh0st está en marcha.

Tan pronto como un actor de amenazas tiene credenciales en la nube, accede al sistema operativo y lo aprovecha para crear más problemas para la compañía. Androxgh0st también permite a los piratas informáticos descargar más malware en un sitio. Al descargar archivos maliciosos a través de Androxgh0st, los actores de amenazas pueden crear más páginas ilegítimas en el sitio, lo que les da acceso de puerta trasera al sitio web.

A continuación, una conexión directa de puerta trasera proporciona al actor malicioso un mayor control sobre el sitio web y el acceso no autorizado a las bases de datos conectadas.

Impacto de Androxgh0st

Androxgh0st proporciona una vía para que los actores de amenazas obtengan acceso remoto a sitios web y sistemas comerciales. Una vez que obtienen acceso, pueden descargar más malware en el sistema. Los piratas informáticos podrían comprometer cualquier dato confidencial en su sistema con Androxgh0st.

Además, Androxgh0st puede comenzar a escanear su sistema en busca de cualquier otra vulnerabilidad. Cuanto más tiempo tengan dentro de su sistema, más extenso será este escaneo de vulnerabilidades, lo que hace que una respuesta oportuna sea fundamental para defender contra esta forma de malware.

Otro impacto importante de Androxgh0st es la capacidad de los actores de amenazas para crear nuevas instancias en servicios como AWS. Una de las actividades más rentables que seguirán estos actores es emplear las instancias de computación en la nube de AWS como un flujo de suministros para la minería de criptomonedas. Sin la necesidad de pagar por sus propios recursos, pueden escalar sus operaciones maliciosas sin incurrir en un costo.

Un sistema que se vio comprometido a través de Androxgh0st también podría servir como base de operaciones para otros ataques de ciberseguridad. El uso de los recursos de red de un servidor de AWS, por ejemplo, podría ayudar a lanzar ataques DDoS y desencadenar más violaciones de datos.

Debido al grave alcance de los impactos de Androxgh0st, CISA agregó el defecto de seguridad a su lista de vulnerabilidades explotadas conocidas e insta a las compañías a tomar medidas para mitigar la amenaza.

6 mejores prácticas para mitigar el malware Androxgh0st

Estas son algunas de las mejores prácticas que ayudan a proteger contra la amenaza del malware Androxgh0st:

  1. Revise los archivos .env: Cerciorar de revisar los servicios y plataformas que dependen de Laravel, comprobando si tiene algún dato confidencial almacenado en .env Archivos. Siempre que sea posible, elimínalo para disminuir la amenaza que representa Androxgh0st.
  2. Reestructurar la Arquitectura Crítica: Otra medida eficaz para proteger de la amenaza Androxgh0st es revisar sus servicios activos actuales para comprobar cuáles están conectados a Internet. Elimine el acceso a Internet para cualquier sistema que no necesite expresamente acceso a Internet.
  3. Actualizar los frameworks de Laravel: Las actualizaciones periódicas de software ayudarán a parchear cualquier vulnerabilidad conocida que los proveedores identificaron en sus plataformas. Cuando actualiza el software tan pronto como esté disponible, se cerciora de que su compañía esté protegida contra cualquier vulnerabilidad que puedan sufrir las versiones anteriores. La actualización del software también ayuda a su compañía a alinear con múltiples regulaciones de cumplimiento.
  4. Supervisión de indicadores de amenazas: Realice análisis y revisiones periódicas de sus sistemas para buscar indicadores de amenazas. Varios indicadores de amenazas que están estrechamente relacionados con Androxgh0st o cualquier otro ataque de malware podrían alertar a su equipo de ciberseguridad sobre la presencia de un atacante. La detección temprana es una de las estrategias más eficaces que puede emplear para reducir la gravedad de una infracción o un ataque.
  5. Aplicación de políticas de control de acceso: Los ataques Androxgh0st son muy exitosos cuando una compañía carece de suficientes políticas de control de acceso y sistemas de autenticación. Si un actor de amenazas es capaz de localizar las credenciales de inicio de sesión, la falta de controles de acceso y vías de autenticación garantizará su éxito a la hora de infiltrar en sus sistemas. Las políticas de control de acceso adicionales restringirán su acceso y le darán un tiempo valioso para montar una defensa más completa.
  6. Emplee la seguridad de terminales: los sistemas de seguridad de terminales son algunas de las defensas más efectivas que su compañía puede montar contra malware amenazas. En lugar de reducir el impacto de malware ya en su sistema, seguridad de terminales identificará malware indicadores de amenaza y evitará que se instale en su sistema en primer lugar. Esta es una forma integral de análisis y defensa de malware que puede mantenerlo a salvo de numerosos vectores de amenazas.

Protección Androxgh0st con Check Point

Androxgh0st representa un riesgo significativo para cualquier marco de Laravel y sitios web que los empleen en sus sistemas. Una vez exitoso, un ataque de malware Androxgh0st puede hacer que todo un sistema se vea comprometido, lo que hace que la protección contra esta forma de malware sea una prioridad para las compañías.

Androxgh0st es una amenaza destacada, y el Índice de Amenazas Globales de Check Point de mayo de 2024 identifica un impacto global total del 5% de las compañías afectadas por esta forma de malware. Para obtener más información, consulte el reporte completo de mayo de 2024 de Check Point.

Check Point Harmony ofrece una amplia solución de seguridad de terminales, mitigando dinámicamente varias amenazas destacadas con sistemas autónomos de detección y respuesta. Para obtener más información sobre Harmony y cómo puede proteger su negocio, aplicar una demostración gratis hoy mismo.

Comenzar

Firewall de última generación

Zero Trust Security

Prevención avanzada de amenazas de red

Guía de compra

Temas relacionados

Malware

Tipos de malware

malwarecriptográfico

malwaremóvil

LokiBot

x
  Comentarios
This website uses cookies for its functionality and for analytics and marketing purposes. By continuing to use this website, you agree to the use of cookies. For more information, please read our Cookies Notice.
Aceptar