Ferramenta Legion Hacker usada para roubar dados de sites mal protegidos

Legion hacker tool

Especialistas descobriram uma ferramenta de hacking Legion baseada em Python que é vendida via Telegram e usada como uma forma de hackear vários serviços online para exploração posterior.

Deixe-me lembrá-lo de que também escrevemos isso Microsoft Disse como detectar a instalação do Lotus preta Kit de inicialização UEFI, e também isso Especialistas descobriram espectro Bootkit UEFI usado para espionagem.

Ataques com a ferramenta Legion Hacker

De acordo com Cado Labs pesquisadores, o Legião malware possui módulos para enumerar servidores SMTP vulneráveis, conduzindo execução remota de código (RCE) ataques, explorando versões não corrigidas do Apache, força bruta cPanel e WebHost Manager (WHM) contas, além de interagir com Shodan API e abuso AWS Serviços.

Os pesquisadores dizem que o malware compartilha semelhanças com outra família de malware, AndroxGh0st, qual foi descoberto pela primeira vez pelo provedor de segurança em nuvem Renda em dezembro 2022.

Mês passado, SentinelaOne publicou uma análise do AndroxGh0st, que mostrou que o malware é parte de AlienFox conjunto de ferramentas, que é oferecido a criminosos para roubar chaves de API e segredos de serviços em nuvem.

Legion parece fazer parte de uma nova geração de utilitários de coleta de credenciais e spam na nuvem. Os desenvolvedores dessas ferramentas geralmente roubam códigos uns dos outros, dificultando a atribuição.especialistas

Além de usar Telegrama para extrair dados, Legion foi projetado para hackear servidores web com CMS, PHP, ou estruturas baseadas em PHP, como Laravel.

É capaz de obter credenciais para uma ampla gama de serviços da web, como provedores de e-mail, provedores de nuvem, sistemas de gerenciamento de servidores, bancos de dados, e plataformas de pagamento, Incluindo Listra e PayPal.Cado Labs' report.

Outros serviços direcionados incluem SendGrid, Twilio, Nexmo, AWS, Arma postal, Plio, Clique em Enviar, Mandril, Jato postal, MensagemBird, Vonage, Exotel, Um sinal, Clickatell, e TokBox.

Ferramenta hacker da Legião
Serviços sendo atacados pela Legion

Além disso, Legion extrai credenciais da AWS de servidores web inseguros ou mal configurados e envia SMS de spam para usuários de operadoras dos EUA, Incluindo NO&T, Corrida, T móvel, Verizon, e Virgem.

Qual é o problema?

O principal objetivo do malware é usar a infraestrutura de serviços sequestrados para ataques subsequentes, incluindo correspondências de spam em massa e campanhas de phishing oportunistas.

Os pesquisadores também descobriram um YouTube canal (criado em junho 15, 2021) contendo vídeos tutoriais sobre Legion. Os especialistas concluem que “a ferramenta é difundida e provavelmente é um malware pago.”

Ferramenta hacker da Legião
“Vídeos educativos” publicado pelo hacker

A localização do criador desta ferramenta, quem usa o apelido do Telegram forzatools, permanece desconhecido, embora a presença de comentários em indonésio no código indique que o desenvolvedor pode ser indonésio ou estar localizado nesse país.

Por Vladimir Krasnogolovy

Vladimir é um especialista técnico que adora dar conselhos e dicas qualificadas sobre os produtos GridinSoft. Ele está disponível 24 horas por dia, 7 dias por semana para ajudá-lo em qualquer dúvida relacionada à segurança na internet.

Deixe um comentário

O seu endereço de email não será publicado. Campos obrigatórios marcados com *