SentinelLabs a analysé plusieurs itérations d’"AlienFox", un nouvel ensemble d’outils qui cible les informations d’identification de plusieurs services de messagerie dans le cloud. AlienFox est très modulaire et évolue régulièrement. La plupart des outils étant open-source, les hackers peuvent donc facilement les adapter et les modifier en fonction de leurs besoins. De nombreux développeurs sont à l’origine de différentes itérations des outils, et l’évolution récurrente des fonctionnalités montre qu’ils deviennent de plus en plus sophistiqués.

Les hackers utilisent AlienFox pour collecter des listes d’hôtes mal configurés à partir de plateformes d’analyse de la sécurité, notamment LeakIX et SecurityTrails. Ils utilisent plusieurs scripts de la toolbox pour extraire des informations sensibles, telles que des clés API de services populaires, tels que AWS SES et Microsoft Office 365, ou des fichiers de configuration disponibles sur les serveurs web des victimes.

Les versions plus récentes de cette boite à outils comportent des scripts qui automatisent des actions malveillantes à l’aide d‘informations d’identification volées.

AlienFox est une illustration parfaite de l’évolution de la cybercriminalité dans le cloud. Les services cloud disposent d’API puissantes et bien documentées, permettant ainsi aux développeurs de scripter facilement des outils. L’ensemble des outils s’est progressivement amélioré grâce à de meilleures pratiques de codage et à l’ajout de nouveaux modules et de nouvelles capacités.

Les attaques opportunistes dans le cloud ne se limitent plus au cryptomining. En analysant les outils et leurs résultats, SentinelLabs a observé que les hackers utilisaient AlienFox pour identifier et collecter des informations d’identification de services mal configurés ou exposés. Pour les victimes, la compromission peut entraîner des coûts de services supplémentaires, une perte de confiance de la part des clients et des coûts de remédiation.