FBot Hack Tool
Byl objeven nový hackerský nástroj s názvem FBot, vyvinutý pomocí Pythonu, se zaměřením na infiltraci webových serverů, cloudových služeb, systémů správy obsahu (CMS) a platforem Software jako služba (SaaS), jako jsou Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid a Twilio. Mezi pozoruhodné funkce patří získávání pověření pro útoky na spam, nástroje usnadňující únos účtů AWS a možnosti provádění útoků na PayPal a různé účty SaaS.
Obsah
Podobnosti nalezené mezi nástrojem FBot Hacking Tool a dalšími rodinami malwaru
FBot se připojil k řadám cloudových hackerských nástrojů jako AlienFox , GreenBot (také známý jako Maintance), Legion a Predator . Je pozoruhodné, že poslední čtyři nástroje sdílejí podobnosti na úrovni kódu s AndroxGh0st.
Výzkumníci rozlišují FBot jako nástroj související s těmito rodinami nástrojů, ale odlišný od nich. Na rozdíl od svých protějšků FBot neodkazuje na žádný zdrojový kód z AndroxGh0st. Vykazuje však podobnosti s Legií, která se objevila v předchozím roce.
Konečným cílem FBot je ovládnout cloud, software jako službu (SaaS) a webové služby. Dosahuje toho sběrem přihlašovacích údajů, aby získal počáteční přístup, a následně tento přístup zpeněžuje prodejem dalším aktérům hrozeb.
FBot může provádět různé nebezpečné činnosti
FBot nejen generuje klíče API pro AWS a Sendgrid, ale také zahrnuje řadu funkcí, včetně vytváření náhodných IP adres, spouštění reverzních IP skenerů a ověřování účtů PayPal spolu s jejich přidruženými e-mailovými adresami.
Skript inicializuje požadavek PayPal API prostřednictvím webové stránky hxxps://www.robertkalinkin.com/index.php, která patří k maloobchodní prodejní stránce litevského módního návrháře. Je zajímavé, že všechny identifikované vzorky FBot využívají tuto webovou stránku k ověřování požadavků PayPal API, což je chování sdílené několika vzorky Legion Stealer.
Kromě toho FBot obsahuje funkce specifické pro AWS, které umožňují kontrolovat podrobnosti konfigurace e-mailu AWS Simple Email Service (SES) a zjišťovat kvóty služeb EC2 pro cílový účet. Funkce související s Twilio se podobně používá ke shromažďování podrobností o účtu, jako je zůstatek, měna a propojená telefonní čísla. Možnosti se dále rozšiřují, protože malware umí extrahovat přihlašovací údaje ze souborů prostředí Laravel.
FBot může být malwarový nástroj na míru
Byly zaznamenány incidenty útočných operací využívajících FBot Hacking Tool v období od července 2022 do začátku roku 2024, což naznačuje pokračující aktivní používání ve volné přírodě. Současný stav týkající se údržby nástroje a metod distribuce ostatním aktérům však zůstává neznámý.
Existují náznaky naznačující, že FBot může být výsledkem snah o soukromý vývoj, což naznačuje, že nedávné sestavení by mohly být šířeny prostřednictvím více lokalizované operace. To je v souladu s převládajícím trendem cloudových útočných nástrojů fungujících jako „soukromí boti“ na míru pro jednotlivé kupující, což odráží přístup pozorovaný u sestavení AlienFox.
