ערכת כלים חדשה של נוזקות התגלתה ונותחה על ידי מומחי אבטחת סייבר בחברת SentinelOne. זכתה לכינוי AlienFox, הנוזקה החדשה יכולה לאסוף אישורי גישה (שמות משתמשים וסיסמאות) של לקוחות ספקי שירותי ענן. SentinelOne מציינת כי ההאקרים משתמשים ב- AlienFox כדי לאסוף מפתחות API וסודות משירותים שונים, כולל Amazon Web Services (AWS) Simple Email Service (SES) ו- Microsoft Office 365.
לפי SentinelOne, נוזקות AlienFox מופצת בעיקר בטלגרם בצורה של ארכיוני קוד מקור. חלק מהמודולים זמינים ב- GitHub עבור כל האקר. רבים מהמודולים הללו הם בקוד פתוח, כך שהאקרים יכולים להתאים ולשנות אותם באופן שיתאים לצרכיהם. מודולריות של נוזקות מעידה על כך שמפתחי נוזקות הופכים יותר ויותר מתוחכמים בגרסאות עדכניות יותר של נוזקות.
האקרים המשתמשים ב- AlienFox השתמשו בערכת הכלים כדי להרכיב רשימות של מארחים שגויים ממספר פלטפורמות סריקת אבטחה כמו LeakIX ו- SecurityTrails: "הם משתמשים במספר סקריפטים בערכת הכלים כדי לחלץ מידע רגיש כמו מפתחות API וסודות מקבצי תצורה שנחשפו בשרתי האינטרנט של הקורבנות", הוסבר על ידי SentinelOne. יתרה מזאת, כמה מהגרסאות האחרונות שנצפו על ידי SentinelOne כללו סקריפטים חדשים לאוטומציית פעולות זדוניות באמצעות אישורי הגישה הגנובים.
לפי SentinelOne, התפשטות AlienFox מייצגת מגמה חדשה של תקיפת שירותי ענן מינימליים יותר (שירותי ענן שאינם מתאימים לקריפטומיינג) כדי לאפשר ולהרחיב את מתקפות סייבר אחרות: "מתקפות ענן אופורטוניסטיות אינן מוגבלות עוד לקריפטומיינג: ערכת הכלים המודולרית של AlienFox מאפשרת מתקפות על שירותים החסרים את המשאבים הדרושים לכרייה". "עבור הקורבנות, מתקפת סייבר כזו יכולה להוביל לעלויות שירות נוספות, אובדן אמון לקוחות ועלויות תיקון."
ממצאי SentinelOne מגיעים ימים אחדים לאחר שמיקרוסופט טענה כי רק 1% מכל הרשאות הענן נמצאות בשימוש פעיל, מה שעלול להוביל לסיכוני אבטחה חמורים.