Legion: la nueva herramienta para robar credenciales de sitios mal configurados

Una nueva herramienta de recolección de credenciales y secuestro de SMTP basada en Python llamada ‘Legion’ está siendo vendida en Telegram. La herramienta se dirige a los servicios de correo electrónico en línea para ataques de phishing y spam.

Legion está siendo vendida por ciberdelincuentes que usan el apodo de “Forza Tools”. Estos ciberdelincuentes operan un canal de YouTube con tutoriales y un canal de Telegram con más de mil miembros.

Legion es un malware modular que, según Cado, probablemente se basa en el malware AndroxGhOst. Asimismo,tiene módulos para realizar la enumeración del servidor SMTP, la ejecución remota de código, explotar versiones vulnerables de Apache, ataques de fuerza bruta a cPanel y cuentas de WebHost Manager, interactuar con la API de Shodan y abusar de los servicios de AWS.

La herramienta apunta a muchos servicios para el robo de credenciales, incluidos Twilio, Nexmo, Stripe/Paypal (función de API de pago), credenciales de consola de AWS, AWS SNS, S3 y SES específicos, Mailgun y plataformas de base de datos/CMS.

La herramienta apunta a muchos servicios para el robo de credenciales, incluidos Twilio, Nexmo, Stripe/Paypal (función de API de pago). También permite obtener credenciales de consola de AWS, AWS SNS, S3 y SES específicos, Mailgun y plataformas de base de datos/CMS.

Recolección de credenciales

Por lo general, Legion se dirige a servidores web no seguros que ejecutan sistemas de administración de contenido (CMS) y marcos basados ​​en PHP como Laravel mediante el uso de patrones RegEx. Los patrones los usa para buscar archivos comúnmente conocidos por contener secretos, tokens de autenticación y claves API.

La herramienta utiliza una variedad de métodos para recuperar credenciales de servidores web mal configurados, como archivos de variables de entorno de destino (.env) y archivos de configuración que pueden contener credenciales de SMTP, consola de AWS, Mailgun, Twilio y Nexmo.

Además de intentar recopilar las credenciales de AWS, Legion también cuenta con un sistema de fuerza bruta para adivinarlas.

Sin embargo, Cado comenta que es estadísticamente poco probable que este sistema pueda generar credenciales utilizables en su estado actual. La herramienta también incluye una función similar de fuerza bruta para las credenciales de SendGrid. 

Independientemente de cómo se obtengan las credenciales, Legion las usa para obtener acceso a los servicios de correo electrónico y enviar correos electrónicos no deseados o de phishing.

Si Legion captura credenciales de AWS válidas, intenta crear un usuario de IAM llamado ‘ses_legion’ y establece la política para otorgarle permiso de administrador. Esto le otorga al usuario no autorizado acceso total a todos los servicios y recursos de AWS.

Envío de spam

Legion también puede enviar spam por SMS aprovechando las credenciales SMTP robadas después de generar una lista de números de teléfono con códigos de área obtenidos de los servicios en línea.

Los operadores admitidos por el malware incluyen AT&T, Sprint, US Cellular, T-Mobile, Cricket, Verizon, Virgin, SunCom, Alltel, Cingular, VoiceStream y más.

Finalmente, Legion puede explotar las vulnerabilidades conocidas de PHP para registrar un webshell en el punto final de destino o realizar la ejecución remota de código para dar al atacante acceso completo al servidor.

En conclusión, Legion es una herramienta de hacking y recolección de credenciales de uso múltiple. Esta está ganando terreno en el mundo del delito cibernético, lo que aumenta el riesgo de servidores web mal administrados y mal configurados.

Los usuarios de AWS deben buscar signos de compromiso, como cambiar el código de registro de usuario de IAM para incluir una etiqueta de “Propietario” con el valor “ms.boharas”.