FBot Hack Tool
Алат за хаковање под називом ФБот, развијен коришћењем Питхон-а, откривен је са фокусом на инфилтрацију веб сервера, цлоуд сервиса, система за управљање садржајем (ЦМС) и софтвера као услуге (СааС) платформи као што су Амазон Веб Сервицес (АВС), Мицрософт 365, ПаиПал, Сендгрид и Твилио. Значајне функционалности обухватају прикупљање акредитива за нападе нежељене поште, алате који олакшавају отмицу АВС налога и могућности за извођење напада на ПаиПал и различите СааС налоге.
Преглед садржаја
Сличности пронађене између ФБот алата за хаковање и других породица злонамерног софтвера
ФБот се придружио редовима алата за хаковање у облаку као што су АлиенФок , ГреенБот (такође познат као Маинтанце), Легион и Предатор . Приметно је да последња четири алата деле сличности на нивоу кода са АндрокГх0ст.
Истраживачи разликују ФБот као алат који се односи на ове породице алата, али се разликује од њих. За разлику од својих колега, ФБот не референцира ниједан изворни код из АндрокГх0ст. Међутим, показује сличности са Легионом, који се појавио прошле године.
Крајњи циљ ФБот-а је да заузме облак, софтвер као услугу (СааС) и веб услуге. То постиже прикупљањем акредитива за добијање почетног приступа и накнадно монетизује овај приступ продајом другим актерима претњи.
ФБот може да обавља различите небезбедне активности
ФБот не само да генерише АПИ кључеве за АВС и Сендгрид, већ такође укључује низ функционалности, укључујући креирање насумичних ИП адреса, покретање обрнутих ИП скенера и валидацију ПаиПал налога заједно са њиховим повезаним адресама е-поште.
Скрипта иницијализује ПаиПал АПИ захтев преко веб локације хккпс://ввв.роберткалинкин.цом/индек.пхп, која припада малопродајном сајту литванског модног дизајнера. Интригантно је да сви идентификовани узорци ФБот-а користе ову веб локацију за аутентификацију ПаиПал АПИ захтева, понашање које дели неколико узорака Легион Стеалер-а.
Штавише, ФБот укључује функције специфичне за АВС за проверу детаља конфигурације е-поште АВС Симпле Емаил Сервице (СЕС) и утврђивање квота ЕЦ2 услуга циљаног налога. Функција везана за Твилио се на сличан начин користи за прикупљање детаља о налогу, као што су стање, валута и повезани бројеви телефона. Могућности се даље проширују, пошто је малвер вешт у издвајању акредитива из датотека окружења Ларавел.
ФБот може бити алатка за малвер по мери
Забележени су инциденти операција напада који користе алатку за хаковање ФБот, у периоду од јула 2022. до почетка 2024. године, што указује на активну употребу у дивљини. Ипак, тренутни статус у вези са одржавањем алата и методама дистрибуције другим актерима остаје непознат.
Постоје знаци који указују на то да би ФБот могао бити резултат приватних развојних напора, што имплицира да би недавне верзије могле бити дистрибуиране путем локализованије операције. Ово је у складу са преовлађујућим трендом алата за нападе у облаку који функционишу као „приватни ботови“ по мери прилагођених појединачним купцима, одражавајући приступ примећен у АлиенФок-у.
