La Oficina Federal de Investigaciones y la Agencia de Seguridad de Infraestructura y Ciberseguridad (CISA) han publicado un aviso urgente sobre Androxgh0st red de robotsque se utiliza para robar credenciales de la nube de las principales plataformas, incluidas AWS, SendGrid y Microsoft Office 365.
Identificado inicialmente por Lacework Labs en 2022, Androxgh0st es un script con Python malware diseñado para infiltrarse y explotar vulnerabilidades en varios marcos y servidores web, apuntando principalmente a archivos .env que almacenan credenciales confidenciales en la nube.
Androxgh0st busca sitios web y servidores que utilicen versiones anteriores de PHPUnit, marcos web PHP y servidores web Apache que tengan vulnerabilidades conocidas de ejecución remota de código (RCE).
Alrededor del 68% de los abusos SMTP del malware Androxgh0st se originan en sistemas Windows, y el 87% de los ataques se ejecutan a través de Python, según Análisis de Lacework Labs.
Una señal reveladora del malware son las solicitudes web inusuales a ubicaciones de servidores específicas, dijo CISA.
Una vez que identifica un sistema vulnerable, Androxgh0st extrae las credenciales de los archivos .env, que a menudo contienen claves de acceso para aplicaciones de alto perfil como Amazon Web Services (AWS), Microsoft Office 365, SendGrid y Twilio.