FBot Hack Tool
Een opkomende hacktool genaamd FBot, ontwikkeld met behulp van Python, is ontdekt met een focus op het infiltreren van webservers, cloudservices, Content Management Systems (CMS) en Software as a Service (SaaS)-platforms zoals Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid en Twilio. Opmerkelijke functionaliteiten omvatten het verzamelen van inloggegevens voor spamaanvallen, tools die het kapen van AWS-accounts vergemakkelijken en mogelijkheden om aanvallen op PayPal en verschillende SaaS-accounts uit te voeren.
Inhoudsopgave
Er zijn overeenkomsten gevonden tussen de FBot-hacktool en andere malwarefamilies
FBot heeft zich aangesloten bij cloud-hackingtools zoals AlienFox , GreenBot (ook bekend als Maintance), Legion en Predator . Met name de laatste vier tools delen overeenkomsten op codeniveau met AndroxGh0st.
Onderzoekers onderscheiden FBot als een hulpmiddel dat gerelateerd is aan, maar verschilt van, deze gereedschapsfamilies. In tegenstelling tot zijn tegenhangers verwijst FBot niet naar de broncode van AndroxGh0st. Het vertoont echter wel overeenkomsten met Legion, dat vorig jaar opdook.
Het uiteindelijke doel van FBot is het beheersen van de cloud, Software as a Service (SaaS) en webservices. Dit wordt bereikt door inloggegevens te verzamelen om initiële toegang te verkrijgen en deze toegang vervolgens te gelde te maken door deze aan andere bedreigingsactoren te verkopen.
FBot kan verschillende onveilige activiteiten uitvoeren
FBot genereert niet alleen API-sleutels voor AWS en Sendgrid, maar bevat ook een verscheidenheid aan functionaliteiten, waaronder het aanmaken van willekeurige IP-adressen, het uitvoeren van omgekeerde IP-scanners en het valideren van PayPal-accounts samen met de bijbehorende e-mailadressen.
Het script initialiseert het PayPal API-verzoek via de website hxxps://www.robertkalinkin.com/index.php, die toebehoort aan de detailhandelssite van een Litouwse modeontwerper. Het is intrigerend dat alle geïdentificeerde FBot-voorbeelden deze website gebruiken voor het authenticeren van PayPal API-verzoeken, een gedrag dat wordt gedeeld door verschillende Legion Stealer-voorbeelden.
Bovendien bevat FBot AWS-specifieke functies om de e-mailconfiguratiegegevens van AWS Simple Email Service (SES) te inspecteren en de EC2-servicequota van het beoogde account vast te stellen. De Twilio-gerelateerde functionaliteit wordt op dezelfde manier gebruikt om details over het account te verzamelen, zoals het saldo, de valuta en gekoppelde telefoonnummers. De mogelijkheden breiden zich verder uit, omdat de malware bedreven is in het extraheren van inloggegevens uit Laravel-omgevingsbestanden.
FBot kan een op maat gemaakte malwaretool zijn
Er zijn incidenten waargenomen van aanvalsoperaties waarbij de FBot Hacking Tool werd gebruikt, variërend van juli 2022 tot begin 2024, wat wijst op voortdurend actief gebruik in het wild. Niettemin blijft de huidige status met betrekking tot het onderhoud en de distributiemethoden van de tool naar andere actoren onbekend.
Er zijn tekenen die erop wijzen dat FBot het resultaat kan zijn van particuliere ontwikkelingsinspanningen, wat impliceert dat recente bouwwerken kunnen worden verspreid via een meer lokale operatie. Dit sluit aan bij de heersende trend waarbij tools voor cloudaanvallen functioneren als op maat gemaakte 'privébots' die zijn afgestemd op individuele kopers, en weerspiegelen de aanpak die wordt waargenomen bij AlienFox-builds.
