Pesquisadores de cibersegurança lançaram luz sobre uma ferramenta conhecida como AndroxGh0st, usada para atacar aplicações Laravel e roubar dados sensíveis. Ela funciona escaneando e extraindo informações importantes de arquivos .env, revelando detalhes de login associados à AWS e Twilio. Classificado como um quebrador de SMTP, ele explora o SMTP usando várias estratégias, como exploração de credenciais, implantação de web shell e varredura de vulnerabilidades.

O AndroxGh0st foi detectado em atividade desde pelo menos 2022, com atores de ameaças aproveitando-o para acessar arquivos de ambiente Laravel e roubar credenciais para várias aplicações baseadas em nuvem, como Amazon Web Services (AWS), SendGrid e Twilio. Cadeias de ataque envolvendo o malware Python são conhecidas por explorar falhas de segurança conhecidas no Apache HTTP Server, Laravel Framework e PHPUnit para obter acesso inicial e para escalonamento de privilégios e persistência.

Em janeiro deste ano, agências de cibersegurança e inteligência dos EUA alertaram sobre atacantes implantando o malware AndroxGh0st para criar uma botnet para “identificação de vítimas e exploração em redes alvo”. Androxgh0st é projetado para exfiltrar dados sensíveis de várias fontes, incluindo arquivos .env, bancos de dados e credenciais de nuvem. Isso permite que atores de ameaças entreguem cargas úteis adicionais a sistemas comprometidos.