FBot Hack Tool
Un instrument de hacking emergent numit FBot, dezvoltat folosind Python, a fost descoperit cu accent pe infiltrarea serverelor web, serviciilor cloud, sistemelor de management al conținutului (CMS) și platformelor Software ca serviciu (SaaS) precum Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid și Twilio. Funcționalitățile demne de remarcat includ colectarea de acreditări pentru atacurile de spam, instrumente care facilitează deturnarea conturilor AWS și capabilitățile de a executa atacuri asupra PayPal și a diferitelor conturi SaaS.
Cuprins
Asemănări găsite între instrumentul de hacking FBot și alte familii de malware
FBot s-a alăturat rândurilor instrumentelor de hacking în cloud precum AlienFox , GreenBot (cunoscut și sub numele de Maintance), Legion și Predator . În special, ultimele patru instrumente au similarități la nivel de cod cu AndroxGh0st.
Cercetătorii disting FBot ca un instrument legat de, dar distinct de aceste familii de instrumente. Spre deosebire de omologii săi, FBot nu face referire la niciun cod sursă de la AndroxGh0st. Cu toate acestea, prezintă asemănări cu Legion, care a apărut în anul precedent.
Obiectivul final al FBot este acela de a controla cloud, Software as a Service (SaaS) și servicii web. Realizează acest lucru prin colectarea acreditărilor pentru a obține accesul inițial și, ulterior, monetizează acest acces vânzându-l altor actori amenințări.
FBot poate efectua diverse activități nesigure
FBot nu numai că generează chei API pentru AWS și Sendgrid, dar încorporează și o varietate de funcționalități, inclusiv crearea de adrese IP aleatorii, rularea de scanere IP inverse și validarea conturilor PayPal împreună cu adresele de e-mail asociate acestora.
Scriptul inițializează solicitarea PayPal API prin intermediul site-ului web hxxps://www.robertkalinkin.com/index.php, care aparține site-ului de vânzări cu amănuntul al unui designer de modă lituanian. În mod intrigant, toate mostrele FBot identificate folosesc acest site web pentru autentificarea solicitărilor API PayPal, un comportament împărtășit de mai multe mostre Legion Stealer.
Mai mult, FBot include funcții specifice AWS pentru a inspecta detaliile de configurare a e-mailului AWS Simple Email Service (SES) și pentru a determina cotele de servicii EC2 ale contului vizat. Funcționalitatea asociată Twilio este folosită în mod similar pentru a aduna detalii despre cont, cum ar fi soldul, moneda și numerele de telefon asociate. Capacitățile se extind și mai mult, deoarece malware-ul este competent în extragerea acreditărilor din fișierele mediului Laravel.
FBot poate fi un instrument malware personalizat
Au fost observate incidente ale operațiunilor de atac care utilizează instrumentul de hacking FBot, care se întind din iulie 2022 până la începutul anului 2024, indicând utilizarea activă continuă în sălbăticie. Cu toate acestea, starea actuală cu privire la metodele de întreținere și distribuire a instrumentului către alți actori rămâne necunoscută.
Există semne care sugerează că FBot poate rezulta din eforturile private de dezvoltare, ceea ce implică faptul că build-urile recente ar putea fi diseminate printr-o operațiune mai localizată. Acest lucru se aliniază cu tendința predominantă a instrumentelor de atac în cloud care funcționează ca „boți privați” personalizați, adaptați pentru cumpărători individuali, reflectând abordarea observată în versiunile AlienFox.
