Uma nova versão atualizada do malware chamado Legion está causando preocupação no cenário da segurança cibernética. Essa versão aprimorada do malware commodity expandiu seus recursos, agora sendo capaz de comprometer servidores Secure Socket Shell (SSH) e acessar credenciais do Amazon Web Services (AWS) relacionadas ao DynamoDB e CloudWatch. Essa descoberta foi feita por Matt Muir, pesquisador do Cado Labs, que compartilhou suas descobertas em um relatório para o The Hacker News.
Segundo Muir, essa atualização recente do Legion demonstra um aumento significativo em seu escopo e apresenta novos recursos, incluindo a capacidade de comprometer servidores SSH e recuperar credenciais específicas da AWS de aplicativos da web Laravel. Isso indica uma clara evolução do foco dos desenvolvedores de malware em serviços em nuvem a cada nova versão lançada.
O Legion, uma ferramenta de hack baseada em Python, foi divulgado pela primeira vez no mês passado pela Cado Labs. Na ocasião, sua capacidade de violar servidores SMTP (Simple Mail Transfer Protocol) vulneráveis para coletar credenciais foi detalhada. Além disso, o malware também é conhecido por explorar servidores da web que executam sistemas de gerenciamento de conteúdo (CMS), além de utilizar o Telegram como um ponto de exfiltração de dados e enviar mensagens SMS de spam para números de celular dos EUA, gerados dinamicamente a partir das credenciais SMTP roubadas.
Uma das adições notáveis ao Legion é sua habilidade de explorar servidores SSH por meio do módulo Paramiko. Além disso, o malware agora inclui recursos para recuperar credenciais adicionais específicas da AWS relacionadas aos aplicativos da web do Laravel, DynamoDB, CloudWatch e AWS Owl.
Outra modificação importante diz respeito à inclusão de caminhos adicionais para verificar a existência de arquivos .env, como /cron/.env, /lib/.env, /sitemaps/.env, /tools/.env, /uploads/.env e /web/.env, entre outros.
De acordo com pesquisador, configurações incorretas em aplicativos da web ainda representam o principal método usado pelo Legion para recuperar credenciais. Portanto, ele enfatiza a importância de que desenvolvedores e administradores de aplicativos da web revisem regularmente o acesso aos recursos dentro de seus aplicativos e busquem alternativas para armazenar segredos em arquivos de ambiente.
Diante dessas ameaças emergentes, é essencial que as empresas adotem medidas proativas de segurança cibernética. Isso inclui a implementação de práticas recomendadas de segurança, como manter os softwares e sistemas atualizados, aplicar configurações adequadas de segurança e treinar os usuários para reconhecer e evitar atividades suspeitas na internet. Além disso, o monitoramento contínuo e a detecção de ameaças são fundamentais para identificar e neutralizar qualquer atividade maliciosa o mais rápido possível.
Assine nossa Newsletter para receber os melhores conteúdos do Itshow em sua caixa de entrada.