Los expertos han descubierto una herramienta de piratería de Legion basada en Python que se vende a través de Telegram y se utiliza como una forma de piratear varios servicios en línea para su posterior explotación..
Déjame recordarte que también escribimos eso. Microsoft Dijo cómo detectar la instalación del Loto negro Kit de arranque UEFI, y también eso Los expertos descubrieron ESPecter Bootkit UEFI utilizado para espionaje.
Ataques con la herramienta Legion Hacker
Según Cado Labs investigadores, el Legión El malware tiene módulos para enumerar servidores SMTP vulnerables., realizar ejecución remota de código (ICE) ataques, explotar versiones sin parches de Apache, fuerza bruta cPanel y WebHost Manager (WHM) cuentas, así como interactuar con el Shodan API y abuso AWS servicios.
Los investigadores dicen que el malware comparte similitudes con otra familia de malware., AndroxGh0st, cual fue descubierto por primera vez por un proveedor de seguridad en la nube encaje en diciembre 2022.
El mes pasado, centinelauno publicó un análisis de AndroxGh0st, lo que demostró que el malware es parte de alienfox caja de herramientas, que se ofrece a los delincuentes para robar claves API y secretos de los servicios en la nube.
Además de usar Telegrama para extraer datos, Legion está diseñado para hackear servidores web con CMS, PHP, o marcos basados en PHP como Laravel.
Otros servicios específicos incluyen EnviarGrid, Twilio, Nexmo, AWS, pistola de correo, Plio, Haga clic enEnviar, Mandril, Correo electrónico, mensajepájaro, Vonage, Exotel, Una señal, Clickatell, y TokBox.
Además, Legion extrae credenciales de AWS de servidores web inseguros o mal configurados y envía SMS spam a usuarios de operadores estadounidenses, incluido AT&T, pique, T-Mobile, Verizon, y Virgen.
Qué pasa?
El objetivo principal del malware es utilizar la infraestructura de los servicios secuestrados para ataques posteriores., incluidos envíos masivos de spam y campañas de phishing oportunistas.
Los investigadores también descubrieron un YouTube canal (creado junio 15, 2021) que contiene videos tutoriales sobre Legion. Los expertos concluyen que «la herramienta está muy extendida y lo más probable es que sea malware de pago.»
La ubicación del creador de esta herramienta., quien usa el apodo de Telegram forzatools, permanece desconocido, aunque la presencia de comentarios en indonesio en el código indica que el desarrollador puede ser indonesio o estar ubicado en ese país.