Malware AlienFox Mengancam Layanan Cloud

Baru-baru ini, para peneliti dari SentinelLabs melaporkan telah menemukan alat baru yang digunakan penjahat siber untuk membobol email dan layanan hosting web.

Toolkit malware, yang dikenal dengan nama “AlienFox“, disebut sebagai malware yang sangat modular & mendapatkan pembaruan rutin. Sebagian besar komponen toolkit ini adalah open source, dan dengan konsep open source yang berbasis komunitas kecepatan pembaruannya menjadi sangat cepat, menjadikan malware ini semakin canggih.

“AlienFox memfasilitasi serangan pada layanan minimal yang kekurangan sumber daya yang dibutuhkan untuk mining” kata para peneliti dalam laporan mereka. Mereka juga mengatakan bahwa malware AlienFox melakukan identifikasi dan mengumpulkan kredensial layanan cloud yang memiliki kesalahan konfigurasi atau memiliki celah keamanan sehingga mengakibatkan melonjaknya biaya langganan, hilangnya kepercayaan pelanggan, kerusakan data dan tentu saja biaya perbaikan yang tinggi.

Untuk menemukan daftar host yang salah konfigurasi, toolkit ini menggunakan platform pemindaian keamanan seperti LeakIX atau SecurityTrails. Kemudian malware ini akan mengeksekusi baris kode dan skrip untuk mengambil data-data sensitif seperti kunci API, file konfigurasi dan file-file penting lainnya. Beberapa versi yang dianalisis untuk laporan tersebut mampu membuat persistensi akun AWS dan meningkatkan hak istimewa, serta mengumpulkan kuota pengiriman dan mengotomatiskan kampanye spam melalui akun dan layanan korban.

Sejauh ini, serangan terhadap layanan berbasis cloud sebagian besar terbatas pada penambang crypto. Pelaku akan menggunakan server cloud yang dikompromikan untuk menjalankan XMRig atau aplikasi sejenis sehingga dapat menghasilkan token tanpa perlu membayar listrik, internet, atau daya komputasi. Dengan AlienFox, klaim SentinelLabs, serangan cloud oportunistik tidak lagi terbatas pada cryptomining.