O recente alerta das agências de segurança dos EUA, incluindo o FBI e a CISA, sobre o botnet Androxgh0st, revela um cenário preocupante no campo da segurança cibernética. Este malware, baseado em Python e identificado inicialmente pela Lacework Labs em 2022, está concentrado em roubar credenciais de serviços em nuvem como AWS e Microsoft Office 365.
Androxgh0st opera escaneando vulnerabilidades em servidores e sites para executar códigos remotos, visando especialmente arquivos de ambiente Laravel para acessar dados confidenciais. Entre as vulnerabilidades exploradas estão CVE-2017-9841 (PHPUnit), CVE-2021-41773 (Apache HTTP Server) e CVE-2018-15133 (Laravel Framework).
O botnet tem capacidades de abuso de SMTP, incluindo escaneamento e exploração de credenciais expostas e APIs, além da implantação de web shells. Uma vez comprometidas, as credenciais da AWS são usadas para criar novos usuários e políticas, além de instâncias da AWS para atividades maliciosas adicionais.
Para mitigar o impacto dos ataques do Androxgh0st, recomenda-se manter todos os sistemas operacionais, softwares e firmwares atualizados, especialmente servidores Apache nas versões 2.4.49 e 2.4.50. Além disso, é aconselhável que as aplicações Laravel não estejam em modo de depuração ou teste, remover credenciais de nuvem dos arquivos .env e revogá-las, e estar atento a pedidos GET suspeitos.
O alerta destaca a importância de uma gestão de patches eficaz e a adoção de arquiteturas de confiança zero (Zero Trust Architecture – ZTA), que limitam o acesso a dados, mesmo no caso de roubo de credenciais.
Este alerta e os conselhos de mitigação refletem a crescente preocupação com a segurança na nuvem e a necessidade de abordagens mais robustas para proteger contra tais ameaças.
