FBot Hack Tool
Ett framväxande hackverktyg vid namn FBot, utvecklat med Python, har upptäckts med fokus på att infiltrera webbservrar, molntjänster, Content Management Systems (CMS) och Software as a Service (SaaS)-plattformar som Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid och Twilio. Anmärkningsvärda funktioner omfattar insamling av autentiseringsuppgifter för spamattacker, verktyg som underlättar kapning av AWS-konton och möjligheter att utföra attacker på PayPal och olika SaaS-konton.
Innehållsförteckning
Likheter hittade mellan FBot Hacking Tool och andra skadliga programfamiljer
FBot har anslutit sig till raden av molnhackningsverktyg som AlienFox , GreenBot (även känd som Maintance), Legion och Predator . Noterbart är att de fyra sistnämnda verktygen delar likheter på kodnivå med AndroxGh0st.
Forskare särskiljer FBot som ett verktyg relaterat till, men skilt från, dessa verktygsfamiljer. Till skillnad från sina motsvarigheter refererar FBot inte till någon källkod från AndroxGh0st. Det uppvisar dock likheter med Legion, som dök upp föregående år.
Det slutliga målet med FBot är att behärska molnet, Software as a Service (SaaS) och webbtjänster. Den uppnår detta genom att samla in autentiseringsuppgifter för att få första åtkomst och sedan tjäna pengar på denna åtkomst genom att sälja den till andra hotaktörer.
FBot kan utföra olika osäkra aktiviteter
FBot genererar inte bara API-nycklar för AWS och Sendgrid utan innehåller också en mängd olika funktioner, inklusive skapandet av slumpmässiga IP-adresser, köra omvända IP-skannrar och validera PayPal-konton tillsammans med deras tillhörande e-postadresser.
Skriptet initierar PayPals API-begäran via webbplatsen hxxps://www.robertkalinkin.com/index.php, som tillhör en litauisk modedesigners detaljhandelssida. Spännande nog använder alla identifierade FBot-prover denna webbplats för autentisering av PayPal API-förfrågningar, ett beteende som delas av flera Legion Stealer-prover.
Dessutom inkluderar FBot AWS-specifika funktioner för att inspektera AWS Simple Email Service (SES) e-postkonfigurationsdetaljer och fastställa EC2-tjänstkvoterna för det riktade kontot. Den Twilio-relaterade funktionen används på liknande sätt för att samla in detaljer om kontot, såsom saldo, valuta och länkade telefonnummer. Möjligheterna sträcker sig längre, eftersom skadlig programvara är skicklig i att extrahera referenser från Laravel-miljöfiler.
FBot kan vara ett skräddarsytt verktyg för skadlig programvara
Incidenter med attackoperationer som använder FBot Hacking Tool har noterats, från juli 2022 till början av 2024, vilket indikerar pågående aktiv användning i naturen. Ändå är den nuvarande statusen för verktygets underhåll och distributionsmetoder till andra aktörer okänd.
Det finns tecken som tyder på att FBot kan vara resultatet av privata utvecklingsinsatser, vilket antyder att de senaste byggnaderna skulle kunna spridas genom en mer lokaliserad operation. Detta överensstämmer med den rådande trenden med molnattackverktyg som fungerar som skräddarsydda "privata bots" skräddarsydda för enskilda köpare, vilket speglar tillvägagångssättet som observeras i AlienFox-byggen.
