FBot Hack Tool
تم اكتشاف أداة قرصنة ناشئة تسمى FBot، تم تطويرها باستخدام Python، مع التركيز على اختراق خوادم الويب والخدمات السحابية وأنظمة إدارة المحتوى (CMS) ومنصات البرامج كخدمة (SaaS) مثل Amazon Web Services (AWS) وMicrosoft. 365، وPayPal، وSendgrid، وTwilio. تشمل الوظائف الجديرة بالملاحظة جمع بيانات الاعتماد لهجمات البريد العشوائي، والأدوات التي تسهل اختطاف حسابات AWS، وإمكانات تنفيذ الهجمات على PayPal وحسابات SaaS المختلفة.
جدول المحتويات
تم العثور على أوجه تشابه بين أداة القرصنة FBot وعائلات البرامج الضارة الأخرى
انضم FBot إلى صفوف أدوات القرصنة السحابية مثل AlienFox وGreenBot (المعروف أيضًا باسم Maintance) وLegion و Predator . ومن الجدير بالذكر أن الأدوات الأربع الأخيرة تشترك في أوجه التشابه على مستوى التعليمات البرمجية مع AndroxGh0st.
يميز الباحثون FBot كأداة مرتبطة بعائلات الأدوات هذه ولكنها متميزة عنها. على عكس نظيراته، لا يشير FBot إلى أي كود مصدر من AndroxGh0st. ومع ذلك، فهي تظهر أوجه تشابه مع Legion، التي ظهرت في العام السابق.
الهدف النهائي لـ FBot هو السيطرة على السحابة والبرامج كخدمة (SaaS) وخدمات الويب. ويحقق ذلك من خلال جمع بيانات الاعتماد للحصول على وصول أولي ومن ثم تحقيق الدخل من هذا الوصول عن طريق بيعه إلى جهات تهديد أخرى.
يمكن لـ FBot تنفيذ العديد من الأنشطة غير الآمنة
لا يقوم FBot بإنشاء مفاتيح API لـ AWS وSendgrid فحسب، بل يتضمن أيضًا مجموعة متنوعة من الوظائف، بما في ذلك إنشاء عناوين IP عشوائية، وتشغيل ماسحات IP العكسية، والتحقق من صحة حسابات PayPal إلى جانب عناوين البريد الإلكتروني المرتبطة بها.
يقوم البرنامج النصي بتهيئة طلب PayPal API من خلال موقع الويب hxxps://www.robertkalinkin.com/index.php، الذي ينتمي إلى موقع مبيعات التجزئة لمصمم أزياء ليتواني. ومن المثير للاهتمام أن جميع عينات FBot التي تم تحديدها تستخدم هذا الموقع لمصادقة طلبات PayPal API، وهو سلوك مشترك بين العديد من عينات Legion Stealer.
علاوة على ذلك، يتضمن FBot ميزات خاصة بـ AWS لفحص تفاصيل تكوين البريد الإلكتروني لخدمة AWS Simple Email Service (SES) والتأكد من حصص خدمة EC2 للحساب المستهدف. يتم استخدام الوظيفة المرتبطة بـ Twilio بالمثل لجمع تفاصيل حول الحساب، مثل الرصيد والعملة وأرقام الهواتف المرتبطة. وتمتد القدرات إلى أبعد من ذلك، حيث أن البرامج الضارة ماهرة في استخراج بيانات الاعتماد من ملفات بيئة Laravel.
قد يكون FBot أداة برامج ضارة مخصصة
تمت ملاحظة حوادث عمليات الهجوم التي تستخدم أداة FBot Hacking Tool، والتي امتدت من يوليو 2022 إلى بداية عام 2024، مما يشير إلى الاستخدام النشط المستمر في البرية. ومع ذلك، فإن الوضع الحالي فيما يتعلق بصيانة الأداة وطرق توزيعها على الجهات الفاعلة الأخرى لا يزال مجهولاً.
هناك دلائل تشير إلى أن FBot قد يكون نتيجة لجهود التطوير الخاصة، مما يعني أنه يمكن نشر الإصدارات الأخيرة من خلال عملية أكثر محلية. يتماشى هذا مع الاتجاه السائد المتمثل في أن أدوات الهجوم السحابي تعمل كـ "روبوتات خاصة" مصممة خصيصًا للمشترين الأفراد، مما يعكس النهج الذي تمت ملاحظته في إصدارات AlienFox.
