FBot Hack Tool
Et spirende hackingværktøj ved navn FBot, udviklet ved hjælp af Python, er blevet opdaget med fokus på infiltrerende webservere, cloud-tjenester, Content Management Systems (CMS) og Software as a Service (SaaS) platforme som Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid og Twilio. Bemærkelsesværdige funktioner omfatter indsamling af legitimationsoplysninger til spammingangreb, værktøjer, der letter kapring af AWS-konti og muligheder for at udføre angreb på PayPal og forskellige SaaS-konti.
Indholdsfortegnelse
Ligheder fundet mellem FBot Hacking Tool og andre Malware-familier
FBot har sluttet sig til rækken af cloud hacking-værktøjer som AlienFox , GreenBot (også kendt som Maintance), Legion og Predator . De sidste fire værktøjer deler især ligheder på kodeniveau med AndroxGh0st.
Forskere skelner FBot som et værktøj relateret til, men adskilt fra, disse værktøjsfamilier. I modsætning til sine modparter refererer FBot ikke til nogen kildekode fra AndroxGh0st. Det udviser dog ligheder med Legion, som dukkede op i det foregående år.
Det ultimative mål med FBot er at styre skyen, Software as a Service (SaaS) og webtjenester. Den opnår dette ved at høste legitimationsoplysninger for at få indledende adgang og efterfølgende tjene penge på denne adgang ved at sælge den til andre trusselsaktører.
FBot kan udføre forskellige usikre aktiviteter
FBot genererer ikke kun API-nøgler til AWS og Sendgrid, men inkorporerer også en række funktioner, herunder oprettelse af tilfældige IP-adresser, kørsel af omvendte IP-scannere og validering af PayPal-konti sammen med deres tilknyttede e-mail-adresser.
Scriptet initialiserer PayPal API-anmodningen via webstedet hxxps://www.robertkalinkin.com/index.php, som tilhører en litauisk modedesigners detailsalgsside. Spændende nok anvender alle identificerede FBot-prøver denne hjemmeside til autentificering af PayPal API-anmodninger, en adfærd, der deles af flere Legion Stealer-prøver.
Desuden inkluderer FBot AWS-specifikke funktioner til at inspicere AWS Simple Email Service (SES) e-mailkonfigurationsdetaljer og konstatere EC2-tjenestekvoterne for den målrettede konto. Den Twilio-relaterede funktionalitet bruges på samme måde til at indsamle detaljer om kontoen, såsom saldo, valuta og tilknyttede telefonnumre. Mulighederne strækker sig længere, da malwaren er dygtig til at udtrække legitimationsoplysninger fra Laravel-miljøfiler.
FBot kan være et specialfremstillet malwareværktøj
Hændelser af angrebsoperationer, der anvender FBot Hacking Tool, er blevet noteret, der strækker sig fra juli 2022 til begyndelsen af 2024, hvilket indikerer igangværende aktiv brug i naturen. Ikke desto mindre er den nuværende status vedrørende værktøjets vedligeholdelse og distributionsmetoder til andre aktører ukendt.
Der er tegn, der tyder på, at FBot kan være et resultat af privat udviklingsindsats, hvilket antyder, at nyere builds kunne formidles gennem en mere lokaliseret operation. Dette stemmer overens med den fremherskende tendens med cloud-angrebsværktøjer, der fungerer som skræddersyede 'private bots' skræddersyet til individuelle købere, hvilket afspejler den tilgang, der observeres i AlienFox-builds.
