Botnet steelt cloud-inloggegevens en vertrouwelijke gegevens
De malware Androxgh0st richt zich actief op het stelen van inloggegevens voor cloudomgevingen. Het zet deze omgevingen vervolgens in voor het afleveren van malafide payloads bij slachtoffers.
Hiervoor waarschuwen de Amerikaanse FBI en CISA. Androxgh0st is niet nieuw; Laceworks Labs waarschuwde eind 2022 al voor de malware. De FBI en CISA wijzen nu op het bestaan van een botnet, dat kan worden gebruikt voor het stelen van zowel inloggegevens als vertrouwelijke informatie. Ook kan de malware getroffen systemen opnemen in zijn botnet, dat hierdoor verder in omvang groeit.
Oude kwetsbaarheden uitgebuit
De malware maakt gebruik van oude kwetsbaarheden in Apache HTTP Server, PHP en Laravel-applicaties. Deze kwetsbaarheden zijn in alle gevallen met behulp van patches verholpen. De aanvallers richten zich dan ook op gebruikers die hun systemen niet up-to-date houden.
Androxgh0st zoekt onder meer naar .env-bestanden die gevoelige informatie omvatten. Denk daarbij aan inloggegevens voor diverse diensten en cloudomgevingen. De malware kan echter ook gebruik maken van SMTP voor het versturen van malafide content zoals spam.
Meer over Security
Over Wouter Hoeffnagel
