17.6 C
São Paulo
segunda-feira, maio 27, 2024
InícioCibersegurançaMalware Legion amplia escopo de ação, compromete servidores SSH e acessa credenciais...

Malware Legion amplia escopo de ação, compromete servidores SSH e acessa credenciais da AWS

Uma nova versão atualizada do malware chamado Legion está causando preocupação no cenário da segurança cibernética. Essa versão aprimorada do malware commodity expandiu seus recursos, agora sendo capaz de comprometer servidores Secure Socket Shell (SSH) e acessar credenciais do Amazon Web Services (AWS) relacionadas ao DynamoDB e CloudWatch. Essa descoberta foi feita por Matt Muir, pesquisador do Cado Labs, que compartilhou suas descobertas em um relatório para o The Hacker News.

Segundo Muir, essa atualização recente do Legion demonstra um aumento significativo em seu escopo e apresenta novos recursos, incluindo a capacidade de comprometer servidores SSH e recuperar credenciais específicas da AWS de aplicativos da web Laravel. Isso indica uma clara evolução do foco dos desenvolvedores de malware em serviços em nuvem a cada nova versão lançada.

malware legion 2
Imagem gerada por inteligência artificial.

O Legion, uma ferramenta de hack baseada em Python, foi divulgado pela primeira vez no mês passado pela Cado Labs. Na ocasião, sua capacidade de violar servidores SMTP (Simple Mail Transfer Protocol) vulneráveis para coletar credenciais foi detalhada. Além disso, o malware também é conhecido por explorar servidores da web que executam sistemas de gerenciamento de conteúdo (CMS), além de utilizar o Telegram como um ponto de exfiltração de dados e enviar mensagens SMS de spam para números de celular dos EUA, gerados dinamicamente a partir das credenciais SMTP roubadas.

Uma das adições notáveis ao Legion é sua habilidade de explorar servidores SSH por meio do módulo Paramiko. Além disso, o malware agora inclui recursos para recuperar credenciais adicionais específicas da AWS relacionadas aos aplicativos da web do Laravel, DynamoDB, CloudWatch e AWS Owl.

Outra modificação importante diz respeito à inclusão de caminhos adicionais para verificar a existência de arquivos .env, como /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env e /web/.env, entre outros.

malware
Imagem gerada por inteligência artificial.

De acordo com pesquisador, configurações incorretas em aplicativos da web ainda representam o principal método usado pelo Legion para recuperar credenciais. Portanto, ele enfatiza a importância de que desenvolvedores e administradores de aplicativos da web revisem regularmente o acesso aos recursos dentro de seus aplicativos e busquem alternativas para armazenar segredos em arquivos de ambiente.

Diante dessas ameaças emergentes, é essencial que as empresas adotem medidas proativas de segurança cibernética. Isso inclui a implementação de práticas recomendadas de segurança, como manter os softwares e sistemas atualizados, aplicar configurações adequadas de segurança e treinar os usuários para reconhecer e evitar atividades suspeitas na internet. Além disso, o monitoramento contínuo e a detecção de ameaças são fundamentais para identificar e neutralizar qualquer atividade maliciosa o mais rápido possível.

Assine nossa Newsletter para receber os melhores conteúdos do Itshow em sua caixa de entrada.

Erika Rodrigues
Erika Rodrigues
Sou repórter e redatora no Itshow. Já produzi diversas matérias como jovem repórter do Núcleo de Jornalismo Investigativo da Record TV, onde também fiz parte da equipe de apuração da Agência Record, abastecendo os principais jornais da casa, além do portal R7. Com dedicação e comprometimento, estou sempre em busca de novos desafios e oportunidades de crescimento em carreira.
Postagens recomendadas
Outras postagens