FBot Hack Tool
Objavil sa nový hackerský nástroj s názvom FBot, vyvinutý pomocou Pythonu, so zameraním na infiltráciu webových serverov, cloudových služieb, systémov správy obsahu (CMS) a platforiem Software ako služba (SaaS), ako sú Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid a Twilio. Pozoruhodné funkcie zahŕňajú získavanie poverení pre spamové útoky, nástroje uľahčujúce únos účtov AWS a možnosti vykonávať útoky na PayPal a rôzne účty SaaS.
Obsah
Podobnosti nájdené medzi nástrojom FBot Hacking Tool a inými rodinami malvéru
FBot sa pripojil k radom cloudových hackerských nástrojov, ako sú AlienFox , GreenBot (tiež známy ako Maintance), Legion a Predator . Je pozoruhodné, že posledné štyri nástroje zdieľajú podobnosti na úrovni kódu s AndroxGh0st.
Výskumníci rozlišujú FBot ako nástroj súvisiaci s týmito rodinami nástrojov, ale odlišný od nich. Na rozdiel od svojich náprotivkov FBot neodkazuje na žiadny zdrojový kód z AndroxGh0st. Vykazuje však podobnosti s Legion, ktorá sa objavila v predchádzajúcom roku.
Konečným cieľom FBot je ovládnuť cloud, softvér ako službu (SaaS) a webové služby. Dosahuje to zberom poverení na získanie počiatočného prístupu a následne tento prístup speňaží predajom iným aktérom hrozby.
FBot môže vykonávať rôzne nebezpečné činnosti
FBot nielen generuje kľúče API pre AWS a Sendgrid, ale zahŕňa aj rôzne funkcie vrátane vytvárania náhodných IP adries, spúšťania reverzných IP skenerov a overovania PayPal účtov spolu s ich priradenými e-mailovými adresami.
Skript inicializuje požiadavku PayPal API prostredníctvom webovej stránky hxxps://www.robertkalinkin.com/index.php, ktorá patrí k maloobchodnej predajnej stránke litovského módneho návrhára. Je zaujímavé, že všetky identifikované vzorky FBot využívajú túto webovú stránku na overovanie požiadaviek PayPal API, čo je správanie zdieľané niekoľkými vzorkami Legion Stealer.
Okrem toho FBot obsahuje funkcie špecifické pre AWS na kontrolu podrobností o konfigurácii e-mailovej služby AWS Simple Email Service (SES) a zisťovanie kvót služby EC2 pre cieľový účet. Funkcia súvisiaca s Twilio sa podobne používa na zhromažďovanie podrobností o účte, ako je zostatok, mena a prepojené telefónne čísla. Možnosti sa rozširujú ďalej, pretože malvér je schopný extrahovať poverenia zo súborov prostredia Laravel.
FBot môže byť na mieru vyrobený malvérový nástroj
Boli zaznamenané incidenty útočných operácií využívajúcich FBot Hacking Tool, ktoré trvali od júla 2022 do začiatku roku 2024, čo naznačuje pokračujúce aktívne používanie vo voľnej prírode. Súčasný stav týkajúci sa údržby nástroja a spôsobov distribúcie iným subjektom však zostáva neznámy.
Existujú náznaky, že FBot môže byť výsledkom úsilia súkromného rozvoja, čo znamená, že nedávne zostavy by sa mohli šíriť prostredníctvom viac lokalizovanej prevádzky. To je v súlade s prevládajúcim trendom nástrojov cloudových útokov fungujúcich ako „súkromné roboty“ na mieru pre jednotlivých kupujúcich, čo odráža prístup pozorovaný pri zostavách AlienFox.
