FBot Hack Tool
Pythonilla kehitetty FBot-niminen hakkerointityökalu on löydetty, ja se keskittyy tunkeutumaan verkkopalvelimiin, pilvipalveluihin, sisällönhallintajärjestelmiin (CMS) ja Software as a Service (SaaS) -alustoille, kuten Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid ja Twilio. Huomionarvoisia toimintoja ovat tunnistetietojen kerääminen roskapostihyökkäyksiä varten, työkalut, jotka helpottavat AWS-tilien kaappaamista, ja mahdollisuudet suorittaa hyökkäyksiä PayPaliin ja useisiin SaaS-tileihin.
Sisällysluettelo
FBot-hakkerointityökalun ja muiden haittaohjelmaperheiden välillä löydetty yhtäläisyyksiä
FBot on liittynyt pilvihakkerointityökalujen joukkoon, kuten AlienFox , GreenBot (tunnetaan myös nimellä Maintance), Legion ja Predator . Erityisesti neljä viimeksi mainittua työkalua jakavat kooditason yhtäläisyydet AndroxGh0stin kanssa.
Tutkijat erottavat FBotin työkaluna, joka liittyy näihin työkaluperheisiin, mutta eroaa niistä. Toisin kuin vastineensa, FBot ei viittaa mihinkään AndroxGh0st:n lähdekoodiin. Siinä on kuitenkin yhtäläisyyksiä edellisenä vuonna nousseen Legionin kanssa.
FBotin perimmäinen tavoite on hallita pilvipalveluita, ohjelmistoa palveluna (SaaS) ja verkkopalveluita. Se saavuttaa tämän keräämällä valtuustietoja saadakseen ensimmäisen käyttöoikeuden ja myöhemmin rahallistaa tämän käyttöoikeuden myymällä sen muille uhkatoimijoille.
FBot voi suorittaa erilaisia vaarallisia toimintoja
FBot ei ainoastaan luo API-avaimia AWS:lle ja Sendgridille, vaan sisältää myös erilaisia toimintoja, kuten satunnaisten IP-osoitteiden luomisen, käänteisten IP-skannerien käyttämisen ja PayPal-tilien ja niihin liittyvien sähköpostiosoitteiden vahvistamisen.
Skripti alustaa PayPal API -pyynnön verkkosivuston hxxps://www.robertkalinkin.com/index.php kautta, joka kuuluu liettualaisen muotisuunnittelijan vähittäismyyntisivustolle. Kiinnostavaa kyllä, kaikki tunnistetut FBot-näytteet käyttävät tätä verkkosivustoa PayPal API -pyyntöjen todentamiseen, mikä on useiden Legion Stealer -näytteiden yhteinen käyttäytyminen.
Lisäksi FBot sisältää AWS-kohtaisia ominaisuuksia AWS Simple Email Service (SES) -sähköpostin määritystietojen tarkastamiseksi ja kohdetilin EC2-palvelukiintiöiden tarkistamiseksi. Twilioon liittyvää toimintoa käytetään vastaavasti keräämään tietoja tilistä, kuten saldosta, valuutasta ja linkitetyistä puhelinnumeroista. Ominaisuudet laajenevat entisestään, koska haittaohjelma osaa poimia tunnistetiedot Laravel-ympäristötiedostoista.
FBot voi olla räätälöity haittaohjelmatyökalu
FBot Hakkerointityökalua käyttäviä hyökkäystapauksia on havaittu heinäkuusta 2022 vuoden 2024 alkuun, mikä viittaa jatkuvaan aktiiviseen käyttöön luonnossa. Työkalun ylläpito- ja jakelumenetelmien nykytila muille toimijoille on kuitenkin edelleen tuntematon.
On olemassa merkkejä, jotka viittaavat siihen, että FBot saattaa johtua yksityisistä kehitysponnisteluista, mikä viittaa siihen, että viimeaikaiset versiot voitaisiin levittää paikallisemman toiminnan kautta. Tämä on linjassa vallitsevan trendin kanssa, että pilvihyökkäystyökalut toimivat yksittäisille ostajille räätälöityinä "yksityisinä robotteina", mikä heijastaa AlienFox-rakennuksissa havaittua lähestymistapaa.
