FBot Hack Tool
È stato scoperto uno strumento di hacking emergente denominato FBot, sviluppato utilizzando Python, con l'obiettivo di infiltrarsi in server Web, servizi cloud, sistemi di gestione dei contenuti (CMS) e piattaforme Software as a Service (SaaS) come Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid e Twilio. Le funzionalità degne di nota comprendono la raccolta di credenziali per attacchi di spamming, strumenti che facilitano il dirottamento degli account AWS e capacità per eseguire attacchi su PayPal e vari account SaaS.
Sommario
Somiglianze riscontrate tra lo strumento di hacking FBot e altre famiglie di malware
FBot si è unito ai ranghi degli strumenti di cloud hacking come AlienFox , GreenBot (noto anche come Maintance), Legion e Predator . In particolare, gli ultimi quattro strumenti condividono somiglianze a livello di codice con AndroxGh0st.
I ricercatori distinguono FBot come uno strumento correlato a, ma distinto da, queste famiglie di strumenti. A differenza delle sue controparti, FBot non fa riferimento ad alcun codice sorgente di AndroxGh0st. Tuttavia, mostra somiglianze con Legion, emerso l'anno precedente.
L'obiettivo finale di FBot è requisire il cloud, il Software as a Service (SaaS) e i servizi Web. Raggiunge questo obiettivo raccogliendo credenziali per ottenere l’accesso iniziale e successivamente monetizzando tale accesso vendendolo ad altri autori di minacce.
FBot può eseguire varie attività non sicure
FBot non solo genera chiavi API per AWS e Sendgrid, ma incorpora anche una varietà di funzionalità, tra cui la creazione di indirizzi IP casuali, l'esecuzione di scanner IP inversi e la convalida dei conti PayPal insieme ai relativi indirizzi e-mail associati.
Lo script inizializza la richiesta API PayPal attraverso il sito web hxxps://www.robertkalinkin.com/index.php, che appartiene al sito di vendita al dettaglio di uno stilista lituano. Curiosamente, tutti gli esempi FBot identificati utilizzano questo sito Web per autenticare le richieste API PayPal, un comportamento condiviso da diversi esempi Legion Stealer.
Inoltre, FBot include funzionalità specifiche di AWS per ispezionare i dettagli di configurazione e-mail di AWS Simple Email Service (SES) e accertare le quote di servizio EC2 dell'account di destinazione. La funzionalità relativa a Twilio viene utilizzata in modo simile per raccogliere dettagli sull'account, come saldo, valuta e numeri di telefono collegati. Le funzionalità si estendono ulteriormente, poiché il malware è abile nell'estrarre credenziali dai file dell'ambiente Laravel.
FBot potrebbe essere uno strumento malware personalizzato
Sono stati rilevati episodi di operazioni di attacco che utilizzano lo strumento di hacking FBot, dal luglio 2022 all'inizio del 2024, indicando un utilizzo attivo e continuo in natura. Tuttavia, lo stato attuale relativo alla manutenzione dello strumento e ai metodi di distribuzione ad altri attori rimane sconosciuto.
Ci sono segnali che suggeriscono che FBot potrebbe derivare da sforzi di sviluppo privati, il che implica che le recenti costruzioni potrebbero essere diffuse attraverso un’operazione più localizzata. Ciò è in linea con la tendenza prevalente degli strumenti di attacco cloud che funzionano come “bot privati” personalizzati su misura per i singoli acquirenti, rispecchiando l’approccio osservato nelle build AlienFox.
