Androxgh0st Malware: Everything You Need to Know

O Androxgh0st é um script baseado em Python para malware que tem como alvo aplicativos que usam o Laravel (como AWS, Twilio, Office 365 e SendGrid), examinando e extraindo informações de .env arquivos. Essa forma de malware pode extrair informações confidenciais, como detalhes de login, e pode quebrar o Simple Mail Transfer Protocol (SMTP) para explorar a API e o desenvolvimento de shell da Web.

Solicite uma demo Guia do comprador de segurança do endpoint

Como funciona o Androxgh0st

O Androxgh0st tem como alvo principal o aplicativo Laravel, que é uma estrutura PHP líder usada em muitos aplicativos da Web. Ao digitalizar .env arquivos, o Androxgh0st pode identificar e extrair informações confidenciais desses arquivos, principalmente os detalhes de login para plataformas como a Amazon Web Services.

Androxgh0st funciona em várias fases:

  • Primeiro passo, Escaneamento de botnet: usando um botnet, o AndroxGh0st verificará qualquer site que esteja usando ativamente a estrutura Laravel. Ao identificar sites com essa estrutura de aplicativo da web, eles podem criar uma lista de sites em potencial para segmentar.
  • Etapa dois, escaneamento.env: em cada um dos sites identificados, o Androxgh0st verificará o nível raiz do domínio, procurando por qualquer .env exposto arquivos que ainda incluem dados confidenciais ou credenciais de login.
  • Etapa três, Acesso: Os agentes de ameaças enviam uma solicitação GET ou POST para examinar as senhas, nomes de usuário ou chaves de login conectadas ao site. As solicitações POST e GET recebidas são um dos principais indicadores de ameaça de que o Androxgh0st está em andamento.

Assim que um agente de ameaças tem credenciais na nuvem, ele acessa o sistema operacional e o utiliza para criar mais problemas para a empresa. O Androxgh0st também permite que os hackers façam download de mais malware em um site. Ao baixar arquivos maliciosos por meio do Androxgh0st, os agentes de ameaças podem criar mais páginas ilegítimas no site, o que lhes dá acesso secreto ao site.

Uma conexão direta de backdoor então fornece ao agente mal-intencionado maior controle sobre o site e acesso não autorizado aos bancos de dados conectados.

Impacto do Androxgh0st

O Androxgh0st fornece um caminho para os agentes de ameaças obterem acesso remoto a sites e sistemas comerciais. Depois de obter acesso, eles podem fazer download de mais malware no sistema. Os hackers podem comprometer quaisquer dados confidenciais em seu sistema com o Androxgh0st.

Além disso, o Androxgh0st pode começar a analisar seu sistema em busca de qualquer outra vulnerabilidade. Quanto mais tempo eles tiverem dentro de seu sistema, mais extensa será essa varredura de vulnerabilidade, tornando uma resposta oportuna essencial para se defender contra essa forma de malware.

Outro grande impacto da Androxgh0st é a capacidade dos agentes de ameaças de criar novas instâncias em serviços como o AWS. Um dos objetivos mais lucrativos que esses atores seguirão é usar as instâncias de computação em nuvem da AWS como um fluxo de suprimentos para mineração de criptomoedas. Sem a necessidade de pagar por seus próprios recursos, eles podem escalar suas operações maliciosas sem incorrer em custos.

Um sistema que foi comprometido por meio do Androxgh0st também pode servir como base de operações para outros ataques de segurança cibernética. O uso dos recursos de rede de um servidor AWS, por exemplo, poderia ajudar a lançar ataques DDoS e desencadear outras violações de dados.

Devido ao escopo severo dos impactos do Androxgh0st, a CISA adicionou o defeito de segurança à sua lista de vulnerabilidades exploradas conhecidas e recomenda que as empresas tomem medidas para mitigar a ameaça.

6 práticas recomendadas para atenuar o malware Androxgh0st

Aqui estão algumas práticas recomendadas que ajudam a proteger contra a ameaça do malware Androxgh0st:

  1. Revise os arquivos.env: certifique-se de revisar seus serviços e plataformas que dependem do Laravel, verificando se você tem algum dado confidencial armazenado em.env arquivos. Sempre que possível, remova-o para diminuir a ameaça que o Androxgh0st representa.
  2. Reestruture a arquitetura crítica: Outra medida eficaz para se proteger da ameaça AndroxGh0st é revisar seus serviços ativos atuais para verificar quais estão conectados à Internet. Remova o acesso à Internet para qualquer sistema que não precise expressamente de acesso à Internet.
  3. Atualize as estruturas do Laravel: Atualizações regulares de software ajudarão a corrigir qualquer vulnerabilidade conhecida que os provedores tenham identificado em suas plataformas. Ao atualizar o software assim que ele fica disponível, o senhor garante que sua empresa esteja protegida contra qualquer vulnerabilidade que as versões anteriores possam ter sofrido. A atualização do software também ajuda sua empresa a se alinhar com várias normas de Conformidade.
  4. Monitore os indicadores de ameaças: realize verificações e análises regulares de seus sistemas para procurar indicadores de ameaças. Vários indicadores de ameaças que estão intimamente ligados ao Androxgh0st ou a qualquer outro ataque de malware podem alertar sua equipe de segurança cibernética sobre a presença de um invasor. A detecção precoce é uma das estratégias mais eficazes que você pode empregar para reduzir a gravidade de uma violação ou ataque.
  5. Imponha políticas de controle de acesso: os ataques Androxgh0st são muito bem-sucedidos quando uma empresa não possui políticas de controle de acesso e sistemas de autenticação suficientes. Se um agente de ameaças conseguir localizar as credenciais de login, a falta de controles de acesso e caminhos de autenticação garantirá seu sucesso na infiltração em seus sistemas. Políticas adicionais de controle de acesso restringirão seu acesso e darão a você um tempo valioso para montar uma defesa mais abrangente.
  6. Utilize a Segurança da endpoint: Os sistemas de segurança de endpoint são algumas das defesas mais eficazes que sua empresa pode montar contra as ameaças do site malware. Em vez de reduzir o impacto do malware que já está em seu sistema, o Segurança da endpoint identificará os indicadores de ameaças do malware e evitará que ele se instale em seu sistema. Essa é uma forma abrangente de análise e defesa contra malware que pode mantê-lo protegido contra vários vetores de ameaças.

Proteção contra ataques de vírus com a Check Point

O Androxgh0st representa um risco significativo para qualquer estrutura e site do Laravel que os utilize em seus sistemas. Uma vez bem-sucedido, um ataque de malware Androxgh0st pode comprometer todo o sistema, tornando a proteção contra essa forma de malware uma prioridade máxima para as empresas.

O Androxgh0st é uma ameaça proeminente, com o Índice Global de Ameaças da Check Point para maio de 2024 identificando um impacto global total de 5% das empresas afetadas por essa forma de malware. Para obter mais informações, confira o relatório completo de maio de 2024 da Check Point.

Check Point Harmony oferece uma ampla solução de Segurança da endpoint, mitigando dinamicamente várias ameaças importantes com sistemas autônomos de detecção e resposta. Para saber mais sobre o site Harmony e como ele pode proteger sua empresa, solicite um demo gratuito hoje mesmo.

Iniciar

Firewall de última geração

Segurança Zero Trust

Prevenção avançada contra ameaças de rede

Guia do comprador

Tópicos relacionados

Malware

Tipos de malware

malwarecriptográfico

malwaremóvel

Lokibot

×
  Opinião
Este site usa cookies para sua funcionalidade e para fins de análise e marketing. Ao continuar a usar este site, o senhor concorda com o uso de cookies. Para obter mais informações, leia nosso Aviso de cookies.
OK