FBot Hack Tool
Uma ferramenta de hacking emergente chamada FBot, desenvolvida em Python, foi descoberta com foco na infiltração de servidores web, serviços em nuvem, sistemas de gerenciamento de conteúdo (CMS) e plataformas de software como serviço (SaaS), como Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid e Twilio. Funcionalidades notáveis abrangem coleta de credenciais para ataques de spam, ferramentas que facilitam o sequestro de contas AWS e recursos para executar ataques ao PayPal e várias contas SaaS.
Índice
Semelhanças Encontradas entre o FBot Hack Tool e Outras Famílias de Malware
O FBot juntou-se às fileiras das ferramentas de hacking em nuvem como AlienFox, GreenBot (também conhecido como Maintance), Legion e Predator. Notavelmente, as últimas quatro ferramentas compartilham semelhanças em nível de código com o AndroxGh0st.
Os pesquisadores distinguem o FBot como uma ferramenta relacionada, mas distinta, dessas famílias de ferramentas. Ao contrário de seus equivalentes, o FBot não faz referência a nenhum código-fonte do AndroxGh0st. No entanto, apresenta semelhanças com Legion, que surgiu no ano anterior.
O objetivo final do FBot é comandar a nuvem, o software como serviço (SaaS) e os serviços da Web. Ele consegue isso coletando credenciais para obter acesso inicial e, posteriormente, monetizando esse acesso, vendendo-o a outros atores de ameaças.
O FBot pode Realizar Várias Atividades Inseguras
O FBot não apenas gera chaves de API para AWS e Sendgrid, mas também incorpora uma variedade de funcionalidades, incluindo a criação de endereços IP aleatórios, execução de scanners de IP reverso e validação de contas do PayPal junto com seus endereços de e-mail associados.
O script inicializa a solicitação da API do PayPal por meio do site hxxps://www.robertkalinkin.com/index.php, que pertence ao site de vendas no varejo de um estilista lituano. Curiosamente, todas as amostras identificadas do FBot utilizam este site para autenticar solicitações da API do PayPal, um comportamento compartilhado por várias amostras do Legion Stealer.
Além disso, o FBot inclui recursos específicos da AWS para inspecionar os detalhes de configuração de e-mail do AWS Simple Email Service (SES) e verificar as cotas de serviço EC2 da conta de destino. A funcionalidade relacionada ao Twilio é empregada de forma semelhante para coletar detalhes sobre a conta, como saldo, moeda e números de telefone vinculados. Os recursos se estendem ainda mais, pois o malware é proficiente em extrair credenciais de arquivos do ambiente Laravel.
O FBot pode ser uma Ferramenta de Malware Personalizada
Foram observados incidentes de operações de ataque empregando a ferramenta de hacking FBot, abrangendo desde julho de 2022 até o início de 2024, indicando uso ativo contínuo em estado selvagem. No entanto, o estado atual relativamente aos métodos de manutenção e distribuição da ferramenta a outros intervenientes permanece desconhecido.
Há sinais que sugerem que o FBot pode resultar de esforços de desenvolvimento privado, o que implica que as construções recentes poderiam ser disseminadas através de uma operação mais localizada. Isto se alinha com a tendência predominante de ferramentas de ataque à nuvem funcionando como “bots privados” sob medida, adaptados para compradores individuais, refletindo a abordagem observada nas compilações da AlienFox.
