FBot Hack Tool
Alat za hakiranje u nastajanju pod nazivom FBot, razvijen pomoću Pythona, otkriven je s fokusom na infiltraciju web poslužitelja, usluga u oblaku, sustava upravljanja sadržajem (CMS) i platformi softvera kao usluge (SaaS) kao što su Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid i Twilio. Funkcionalnosti vrijedne pažnje obuhvaćaju prikupljanje vjerodajnica za spam napade, alate koji olakšavaju otmicu AWS računa i mogućnosti za izvršenje napada na PayPal i razne SaaS račune.
Sadržaj
Pronađene sličnosti između alata za hakiranje FBot i drugih obitelji zlonamjernog softvera
FBot se pridružio rangu alata za hakiranje oblaka kao što su AlienFox , GreenBot (također poznat kao Maintance), Legion i Predator . Naime, posljednja četiri alata dijele sličnosti na razini koda s AndroxGh0st.
Istraživači razlikuju FBot kao alat povezan s ovim obiteljima alata, ali različit od njih. Za razliku od svojih kolega, FBot ne navodi nikakav izvorni kod AndroxGh0st-a. Međutim, pokazuje sličnosti s Legionom, koji se pojavio prošle godine.
Krajnji cilj FBot-a je preuzimanje oblaka, softvera kao usluge (SaaS) i web usluga. To postiže prikupljanjem vjerodajnica za dobivanje početnog pristupa i naknadno monetizira taj pristup prodajom drugim akterima prijetnji.
FBot može izvoditi razne nesigurne aktivnosti
FBot ne samo da generira API ključeve za AWS i Sendgrid, već uključuje i niz funkcija, uključujući stvaranje nasumičnih IP adresa, pokretanje obrnutih IP skenera i provjeru valjanosti PayPal računa zajedno s pripadajućim adresama e-pošte.
Skripta inicijalizira PayPal API zahtjev putem web stranice hxxps://www.robertkalinkin.com/index.php, koja pripada maloprodajnoj stranici litavskog modnog dizajnera. Intrigantno, svi identificirani FBot uzorci koriste ovu web stranicu za provjeru autentičnosti PayPal API zahtjeva, ponašanje koje dijeli nekoliko Legion Stealer uzoraka.
Štoviše, FBot uključuje značajke specifične za AWS za pregled detalja konfiguracije e-pošte AWS Simple Email Service (SES) i utvrđivanje kvota EC2 usluge ciljanog računa. Funkcionalnost povezana s Twiliom na sličan se način koristi za prikupljanje pojedinosti o računu, poput stanja, valute i povezanih telefonskih brojeva. Mogućnosti se dodatno proširuju jer je zlonamjerni softver vješt u izvlačenju vjerodajnica iz datoteka okoline Laravel.
FBot bi mogao biti prilagođeni alat za zlonamjerni softver
Zabilježeni su incidenti operacija napada korištenjem alata za hakiranje FBot, koji se protežu od srpnja 2022. do početka 2024., što ukazuje na kontinuiranu aktivnu upotrebu u divljini. Unatoč tome, trenutni status u vezi s metodama održavanja i distribucije alata drugim akterima ostaje nepoznat.
Postoje znakovi koji upućuju na to da bi FBot mogao proizaći iz privatnih razvojnih napora, što znači da bi se nedavne verzije mogle širiti kroz više lokalizirane operacije. To je u skladu s prevladavajućim trendom alata za napad u oblaku koji funkcioniraju kao prilagođeni 'privatni botovi' skrojeni za pojedinačne kupce, odražavajući pristup uočen u AlienFoxovim verzijama.
