FBot Hack Tool

یک ابزار هک نوظهور به نام FBot که با استفاده از پایتون توسعه یافته است، با تمرکز بر نفوذ به سرورهای وب، سرویس‌های ابری، سیستم‌های مدیریت محتوا (CMS) و پلتفرم‌های نرم‌افزار به عنوان سرویس (SaaS) مانند خدمات وب آمازون (AWS)، مایکروسافت کشف شده است. 365، PayPal، Sendgrid، و Twilio. قابلیت‌های قابل توجه شامل جمع‌آوری اعتبار برای حملات هرزنامه، ابزارهایی که ربودن حساب‌های AWS را تسهیل می‌کنند و قابلیت‌هایی برای اجرای حملات به PayPal و حساب‌های SaaS مختلف را شامل می‌شود.

شباهت‌هایی بین ابزار هک FBot و سایر خانواده‌های بدافزار یافت شد

FBot به صفوف ابزارهای هک ابری مانند AlienFox ، GreenBot (همچنین به عنوان Maintance شناخته می شود)، Legion و Predator پیوسته است. قابل ذکر است که چهار ابزار آخر شباهت‌هایی در سطح کد با AndroxGh0st دارند.

محققان FBot را به عنوان یک ابزار مرتبط با این خانواده ابزارها، اما متمایز از آن، تشخیص می دهند. بر خلاف همتایان خود، FBot به هیچ کد منبعی از AndroxGh0st اشاره نمی کند. با این حال، شباهت هایی را با Legion که در سال قبل ظاهر شد، نشان می دهد.

هدف نهایی FBot کنترل ابر، نرم افزار به عنوان سرویس (SaaS) و سرویس های وب است. این امر با جمع‌آوری اعتبار برای دستیابی به دسترسی اولیه و متعاقباً از طریق فروش آن به سایر عوامل تهدید، کسب درآمد می‌کند.

FBot می تواند فعالیت های ناامن مختلفی را انجام دهد

FBot نه تنها کلیدهای API را برای AWS و Sendgrid تولید می‌کند، بلکه قابلیت‌های مختلفی از جمله ایجاد آدرس‌های IP تصادفی، اجرای اسکنرهای IP معکوس، و اعتبارسنجی حساب‌های PayPal به همراه آدرس‌های ایمیل مرتبط با آن‌ها را نیز شامل می‌شود.

این اسکریپت درخواست PayPal API را از طریق وب‌سایت hxxps://www.robertkalinkin.com/index.php، که متعلق به سایت خرده‌فروشی یک طراح مد لیتوانیایی است، راه‌اندازی می‌کند. جالب است که همه نمونه‌های FBot شناسایی‌شده از این وب‌سایت برای احراز هویت درخواست‌های PayPal API استفاده می‌کنند، رفتاری که چندین نمونه Legion Stealer به اشتراک گذاشته‌اند.

علاوه بر این، FBot شامل ویژگی‌های خاص AWS برای بررسی جزئیات پیکربندی ایمیل سرویس ساده ایمیل AWS (SES) و تعیین سهمیه خدمات EC2 حساب مورد نظر است. عملکرد مربوط به Twilio به طور مشابه برای جمع آوری جزئیات مربوط به حساب، مانند موجودی، ارز، و شماره تلفن های مرتبط استفاده می شود. قابلیت‌ها بیشتر گسترش می‌یابد، زیرا بدافزار در استخراج اعتبار از فایل‌های محیط لاراول مهارت دارد.

FBot ممکن است یک ابزار بدافزار سفارشی باشد

حوادث عملیات حمله با استفاده از ابزار هک FBot، از ژوئیه 2022 تا آغاز سال 2024، نشان دهنده استفاده فعال مداوم در طبیعت است. با این وجود، وضعیت فعلی در مورد روش های نگهداری و توزیع ابزار برای سایر بازیگران ناشناخته باقی مانده است.

نشانه‌هایی وجود دارد که نشان می‌دهد FBot ممکن است از تلاش‌های توسعه خصوصی ناشی شود، که به این معناست که ساخت‌های اخیر می‌توانند از طریق یک عملیات محلی‌تر منتشر شوند. این با روند غالب ابزارهای حمله ابری مطابقت دارد که به عنوان «ربات‌های خصوصی» سفارشی که برای خریداران شخصی طراحی شده‌اند، عمل می‌کنند و رویکرد مشاهده‌شده در ساخت‌های AlienFox را منعکس می‌کنند.