CISA e FBI alerta para ataques de malware Androxgh0st

A CISA, agência de cibersegurança dos Estados Unidos, e o FBI lançaram um alerta conjunto sobre o malware Androxgh0st que está a criar um botnet para identificar e atacar redes vulneráveis.

As agências afirmam que o malware em questão ataca primeiramente ficheiros .env que contenham informações sensíveis, incluindo credenciais de AWS, Microsoft Office 365, SendGrid e Twilio. A ameaça pode, também, abusar do scanning SMTP e explorar credenciais roubadas e API.

De acordo com o alerta, os cibercriminosos que criaram a operação Androxgh0st foram observados a utilizar scripts para fazer scans a sites com vulnerabilidades específicas, incluindo o CVE-2017-9841, um bug que leva à execução de código PHP através de pedidos HTTP POST.

O alerta da CISA e do FBI indica que “os atores maliciosos provavelmente utilizam Androxgh0st para descarregar ficheiros maliciosos para o sistema de hosting do website. Os threat actos também podem configurar uma página falsa (ilegítima) acessível através do URI para fornecer um backdoor ao site. Isto permite que os threat actos descarreguem arquivos maliciosos adicionais para as suas operações e tenham acesso a bancos de dados”.