FBot Hack Tool

Një mjet hakerimi në zhvillim i quajtur FBot, i zhvilluar duke përdorur Python, është zbuluar me fokus në infiltrimin e serverëve të uebit, shërbimeve cloud, Sistemeve të Menaxhimit të Përmbajtjes (CMS) dhe Softuerëve si Shërbim (SaaS) si platformat Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid dhe Twilio. Funksionalitete të rëndësishme përfshijnë mbledhjen e kredencialeve për sulmet e spamit, mjetet që lehtësojnë rrëmbimin e llogarive AWS dhe aftësitë për të ekzekutuar sulme në PayPal dhe llogari të ndryshme SaaS.

Ngjashmëritë e gjetura midis veglës së hakerimit FBot dhe familjeve të tjera malware

FBot i është bashkuar rangut të mjeteve të hakerimit të cloud si AlienFox , GreenBot (i njohur edhe si Mirëmbajtja), Legion dhe Predator . Veçanërisht, katër mjetet e fundit ndajnë ngjashmëri të nivelit të kodit me AndroxGh0st.

Studiuesit e dallojnë FBot-in si një mjet të lidhur, por të dallueshëm nga këto familje mjetesh. Ndryshe nga homologët e tij, FBot nuk referon asnjë kod burim nga AndroxGh0st. Megjithatë, ai shfaq ngjashmëri me Legion, i cili u shfaq në vitin e kaluar.

Objektivi përfundimtar i FBot është të komandojë renë, Softuerin si Shërbim (SaaS) dhe shërbimet e Uebit. Ai e arrin këtë duke mbledhur kredencialet për të fituar aksesin fillestar dhe më pas e fiton para nga kjo akses duke ia shitur atë aktorëve të tjerë të kërcënimit.

FBot mund të kryejë aktivitete të ndryshme të pasigurta

FBot jo vetëm që gjeneron çelësat API për AWS dhe Sendgrid, por gjithashtu përfshin një sërë funksionesh, duke përfshirë krijimin e adresave IP të rastësishme, ekzekutimin e skanerëve IP të kundërt dhe vërtetimin e llogarive PayPal së bashku me adresat e tyre të postës elektronike të lidhura.

Skripti inicializon kërkesën e PayPal API përmes faqes së internetit hxxps://www.robertkalinkin.com/index.php, e cila i përket faqes së shitjes me pakicë të një stilisti lituanez të modës. Në mënyrë intriguese, të gjitha mostrat e identifikuara të FBot përdorin këtë faqe interneti për vërtetimin e kërkesave të PayPal API, një sjellje e përbashkët nga disa mostra të Legion Stealer.

Për më tepër, FBot përfshin veçori specifike të AWS për të inspektuar detajet e konfigurimit të emailit të Shërbimit të thjeshtë të Email AWS (SES) dhe për të përcaktuar kuotat e shërbimit EC2 të llogarisë së synuar. Funksionaliteti i lidhur me Twilio përdoret në mënyrë të ngjashme për të mbledhur detaje rreth llogarisë, si bilanci, monedha dhe numrat e lidhur të telefonit. Aftësitë shtrihen më tej, pasi malware është i aftë në nxjerrjen e kredencialeve nga skedarët e mjedisit Laravel.

FBot mund të jetë një mjet malware i krijuar me porosi

Incidentet e operacioneve të sulmit duke përdorur mjetin e hakimit FBot janë vërejtur, që shtrihen nga korriku 2022 deri në fillim të 2024, duke treguar një përdorim aktiv të vazhdueshëm në natyrë. Megjithatë, statusi aktual në lidhje me mirëmbajtjen e mjetit dhe metodat e shpërndarjes tek aktorët e tjerë mbetet i panjohur.

Ka shenja që sugjerojnë se FBot mund të rezultojë nga përpjekjet e zhvillimit privat, duke nënkuptuar se ndërtimet e fundit mund të shpërndahen përmes një operacioni më të lokalizuar. Kjo përputhet me tendencën mbizotëruese të mjeteve të sulmit në renë kompjuterike që funksionojnë si 'bote private' të personalizuara të përshtatura për blerësit individualë, duke pasqyruar qasjen e vërejtur në ndërtimet e AlienFox.