Une nouvelle boîte à outils modulaire appelée "AlienFox" permet aux acteurs de la menace de rechercher des serveurs mal configurés afin de voler des secrets d'authentification et des informations d'identification pour des services de messagerie basés sur le cloud.

AlienFox est un ensemble d'outils modulaires comprenant divers outils personnalisés et des utilitaires open-source modifiés créés par différents auteurs. Cette boîte à outils est vendue aux cybercriminels par l'intermédiaire d'un canal Telegram privé, qui est devenu un entonnoir typique pour les transactions entre les auteurs de logiciels malveillants et les pirates informatiques.

Les chercheurs de SentinelLabs qui ont analysé AlienFox rapportent que la boîte à outils cible des erreurs de configuration courantes dans des services populaires comme les cadres d'hébergement en ligne, tels que Laravel, Drupal, Joomla, Magento, Opencart, Prestashop et WordPress.

Les analystes ont identifié trois versions d'AlienFox, ce qui indique que l'auteur de la boîte à outils développe et améliore activement l'outil malveillant.

Les secrets ciblés concernent les plateformes de messagerie électronique basées sur le cloud, notamment 1and1, AWS, Bluemail, Exotel, Google Workspace, Mailgun, Mandrill, Nexmo, Office365, OneSignal, Plivo, Sendgrid, Sendinblue, Sparkpostmail, Tokbox, Twilio, Zimbra et Zoho.

Pour se protéger contre cette menace en constante évolution, les administrateurs doivent s'assurer que la configuration de leur serveur est définie avec les contrôles d'accès appropriés, les autorisations des fichiers et la suppression des services inutiles.

En outre, la mise en œuvre de l'authentification multifactorielle (MFA) et la surveillance de toute activité inhabituelle ou suspecte sur les comptes peuvent contribuer à stopper les intrusions à un stade précoce.