Le botnet Androxgh0st a fait l’objet d’un avis urgent de la part du FBI et de l'agence américaine de cybersécurité et de sécurité des infrastructures (cybersecurity and infrastructure security agency aka CISA). Ces derniers alertent sur l’utilisation du botnet pour voler des identifiants dans le cloud sur plusieurs plateformes dont notamment AWS, SendGrid et Microsoft Office 365. Initialement identifié par Lacework Labs en 2022, le malware Androxgh0st écrit en Python est capable de s'infiltrer et exploiter les vulnérabilités de divers frameworks et serveurs web, en ciblant principalement les fichiers .env qui stockent des informations d'identification cloud sensibles. Androxgh0st recherche des sites web et des serveurs utilisant d'anciennes versions de PHPUnit, des frameworks web PHP et des serveurs web Apache affectés par des vulnérabilités RCE (Remote Code Execution). Selon l'analyse de Lacework Labs, environ 68 % des abus SMTP d'Androxgh0st proviennent de systèmes Windows et 87 % des attaques sont exécutées avec du code Python. Selon la CISA, les requêtes web inhabituelles adressées à des serveurs spécifiques sont un signe révélateur de l'existence du logiciel malveillant.

Une fois qu'il a identifié un système vulnérable, Androxgh0st extrait les informations d'identification des fichiers .env, lesquels contiennent souvent des clés d'accès à des applications de premier plan comme Amazon Web Services (AWS), Microsoft Office 365, SendGrid et Twilio. Le malware peut également se reproduire en utilisant les identifiants AWS compromis pour créer de nouveaux utilisateurs et de nouvelles instances, ce qui lui permet d'étendre sa portée et de rechercher des cibles plus vulnérables sur Internet. La CISA et le FBI ont invité les fournisseurs de services à mettre à jour leurs versions d'Apache, à vérifier régulièrement les informations d'identification stockées dans les fichiers .env et à configurer les serveurs de manière à ce qu'ils rejettent automatiquement toute demande d'accès aux ressources, à moins qu'elle ne soit spécifiquement autorisée. Selon les experts, la propagation rapide de ce malware s'explique par la mauvaise gestion des correctifs dans les entreprises et par le nombre de serveurs qui exécutent des logiciels obsolètes. Selon les données de Fortiguard, à son apogée, début janvier, près de 50 000 terminaux étaient infectés, mais ce nombre a chuté à environ 9 300.

Androxgh0st, aussi utilisé pour voler des données

Outre le vol d'identifiants pour lancer des campagnes de spam, les attaquants peuvent utiliser ces identifiants pour collecter des informations personnelles identifiables (PII) à partir de services. Par exemple, le secteur de la cryptographie a été particulièrement touché par ce type d'attaque, les malfaiteurs ne ciblant pas les actifs numériques - stockés dans des portefeuilles distincts hors ligne - mais plutôt les informations IIP des utilisateurs stockées dans des services tiers comme SendGrid et Twilio. Les acteurs malveillants qui compilent ces données peuvent les utiliser pour constituer des dossiers connus sous le nom de « fullz », qui contiennent toutes les informations personnelles nécessaires pour usurper une identité et ouvrir des lignes de crédit, vendues sur les marchés du darknet, ou les utiliser pour mener des attaques de phishing sophistiquées, en utilisant les données volées pour construire un narratif crédible.