FBot Hack Tool

S'ha descobert una eina de pirateria emergent anomenada FBot, desenvolupada amb Python, centrada en la infiltració de servidors web, serveis al núvol, sistemes de gestió de continguts (CMS) i plataformes de programari com a servei (SaaS) com Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid i Twilio. Les funcionalitats destacades inclouen la recollida de credencials per als atacs de correu brossa, les eines que faciliten el segrest de comptes d'AWS i les capacitats per executar atacs a PayPal i diversos comptes de SaaS.

Similituds trobades entre l’eina de pirateria FBot i altres famílies de programari maliciós

FBot s'ha unit a les files d'eines de pirateria al núvol com AlienFox , GreenBot (també conegut com a Manteniment), Legion i Predator . En particular, les quatre últimes eines comparteixen similituds a nivell de codi amb AndroxGh0st.

Els investigadors distingeixen FBot com una eina relacionada, però diferent d'aquestes famílies d'eines. A diferència dels seus homòlegs, FBot no fa referència a cap codi font d'AndroxGh0st. No obstant això, presenta similituds amb Legion, que va aparèixer l'any anterior.

L'objectiu final de FBot és controlar el núvol, el programari com a servei (SaaS) i els serveis web. Ho aconsegueix mitjançant la recollida de credencials per obtenir l'accés inicial i, posteriorment, monetitza aquest accés venent-lo a altres actors d'amenaça.

FBot pot realitzar diverses activitats insegures

FBot no només genera claus API per a AWS i Sendgrid, sinó que també incorpora una varietat de funcionalitats, com ara la creació d'adreces IP aleatòries, l'execució d'escàners IP inversos i la validació de comptes de PayPal juntament amb les adreces de correu electrònic associades.

L'script inicialitza la sol·licitud de l'API de PayPal a través del lloc web hxxps://www.robertkalinkin.com/index.php, que pertany al lloc de vendes minoristes d'un dissenyador de moda lituà. Curiosament, totes les mostres de FBot identificades utilitzen aquest lloc web per autenticar les sol·licituds de l'API de PayPal, un comportament compartit per diverses mostres de Legion Stealer.

A més, FBot inclou funcions específiques d'AWS per inspeccionar els detalls de configuració de correu electrònic del servei de correu electrònic simple (SES) d'AWS i determinar les quotes de servei EC2 del compte de destinació. La funcionalitat relacionada amb Twilio s'utilitza de manera similar per recopilar detalls sobre el compte, com ara el saldo, la moneda i els números de telèfon enllaçats. Les capacitats s'estenen encara més, ja que el programari maliciós és capaç d'extreure credencials dels fitxers de l'entorn Laravel.

FBot pot ser una eina de programari maliciós personalitzada

S'han observat incidents d'operacions d'atac que utilitzen l'eina de pirateria FBot, que van des del juliol del 2022 fins a principis del 2024, cosa que indica un ús actiu en estat salvatge. No obstant això, encara es desconeix l'estat actual pel que fa al manteniment de l'eina i els mètodes de distribució a altres actors.

Hi ha indicis que suggereixen que FBot pot resultar d'esforços privats de desenvolupament, la qual cosa implica que les construccions recents es podrien difondre mitjançant una operació més localitzada. Això s'alinea amb la tendència predominant de les eines d'atac al núvol que funcionen com a "bots privats" personalitzats adaptats per a compradors individuals, reflectint l'enfocament observat a les compilacions d'AlienFox.