FBot Hack Tool
Нововъзникващ хакерски инструмент, наречен FBot, разработен с помощта на Python, беше открит с фокус върху проникването в уеб сървъри, облачни услуги, системи за управление на съдържанието (CMS) и софтуер като услуга (SaaS) платформи като Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid и Twilio. Забележителните функционалности включват събиране на идентификационни данни за спам атаки, инструменти, улесняващи отвличането на AWS акаунти и възможности за извършване на атаки срещу PayPal и различни SaaS акаунти.
Съдържание
Намерени прилики между инструмента за хакване на FBot и други семейства злонамерен софтуер
FBot се присъедини към редиците на инструментите за хакване в облак като AlienFox , GreenBot (известен също като Maintance), Legion и Predator . По-специално, последните четири инструмента споделят прилики на ниво код с AndroxGh0st.
Изследователите разграничават FBot като инструмент, свързан с, но различен от тези семейства инструменти. За разлика от своите колеги, FBot не препраща към изходен код от AndroxGh0st. Въпреки това, той показва прилики с Legion, който се появи през предходната година.
Крайната цел на FBot е да овладее облака, софтуера като услуга (SaaS) и уеб услугите. Той постига това чрез събиране на идентификационни данни, за да получи първоначален достъп и впоследствие монетизира този достъп, като го продава на други заплахи.
FBot може да извършва различни опасни дейности
FBot не само генерира API ключове за AWS и Sendgrid, но също така включва различни функционалности, включително създаване на произволни IP адреси, стартиране на обратни IP скенери и валидиране на акаунти в PayPal заедно със свързаните с тях имейл адреси.
Скриптът инициализира заявката за API на PayPal чрез уебсайта hxxps://www.robertkalinkin.com/index.php, който принадлежи на сайта за продажби на дребно на литовски моден дизайнер. Интересно е, че всички идентифицирани проби на FBot използват този уебсайт за удостоверяване на PayPal API заявки, поведение, споделено от няколко проби на Legion Stealer.
Освен това, FBot включва специфични за AWS функции за проверка на подробностите за конфигурацията на имейл на AWS Simple Email Service (SES) и установяване на квотите за услугата EC2 на целевия акаунт. Функционалността, свързана с Twilio, се използва по подобен начин за събиране на подробности за акаунта, като баланс, валута и свързани телефонни номера. Възможностите се разширяват допълнително, тъй като злонамереният софтуер е опитен в извличането на идентификационни данни от файловете на средата на Laravel.
FBot може да е специално направен инструмент за зловреден софтуер
Забелязани са случаи на операции за атака, използващи инструмента за хакване FBot, обхващащи от юли 2022 г. до началото на 2024 г., което показва продължаващо активно използване в дивата природа. Въпреки това, текущото състояние по отношение на поддръжката на инструмента и методите за разпространение към други участници остава неизвестно.
Има признаци, които предполагат, че FBot може да е резултат от частни усилия за разработка, което предполага, че последните компилации могат да бъдат разпространени чрез по-локализирана операция. Това е в съответствие с преобладаващата тенденция на инструментите за облачни атаки, функциониращи като поръчкови „частни ботове“, пригодени за отделни купувачи, отразявайки подхода, наблюдаван в компилациите на AlienFox.
