FBot Hack Tool

Ang isang umuusbong na tool sa pag-hack na pinangalanang FBot, na binuo gamit ang Python, ay natuklasan na may pagtuon sa paglusot sa mga web server, cloud services, Content Management Systems (CMS), at Software as a Service (SaaS) platform tulad ng Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid, at Twilio. Ang mga kapansin-pansing functionality ay sumasaklaw sa pag-aani ng kredensyal para sa mga pag-atake ng spamming, mga tool na nagpapadali sa pag-hijack ng mga AWS account, at mga kakayahang magsagawa ng mga pag-atake sa PayPal at iba't ibang SaaS account.

Mga Pagkakatulad na Nakita sa Pagitan ng FBot Hacking Tool at Iba Pang Mga Pamilya ng Malware

Ang FBot ay sumali sa hanay ng mga tool sa pag-hack ng ulap tulad ng AlienFox , GreenBot (kilala rin bilang Maintance), Legion at Predator . Kapansin-pansin, ang huling apat na tool ay nagbabahagi ng pagkakatulad sa antas ng code sa AndroxGh0st.

Tinutukoy ng mga mananaliksik ang FBot bilang isang tool na nauugnay sa, ngunit naiiba sa, mga pamilya ng tool na ito. Hindi tulad ng mga katapat nito, hindi tinutukoy ng FBot ang anumang source code mula sa AndroxGh0st. Gayunpaman, nagpapakita ito ng mga pagkakatulad sa Legion, na lumitaw noong nakaraang taon.

Ang sukdulang layunin ng FBot ay ang commandeer ang cloud, Software as a Service (SaaS), at mga serbisyo sa Web. Nakakamit ito sa pamamagitan ng pag-aani ng mga kredensyal upang makakuha ng paunang pag-access at pagkatapos ay pagkakitaan ang access na ito sa pamamagitan ng pagbebenta nito sa iba pang mga banta na aktor.

Maaaring Magsagawa ang FBot ng Iba't ibang Hindi Ligtas na Aktibidad

Ang FBot ay hindi lamang bumubuo ng mga API key para sa AWS at Sendgrid ngunit isinasama rin ang iba't ibang mga functionality, kabilang ang paglikha ng mga random na IP address, pagpapatakbo ng mga reverse IP scanner, at pagpapatunay ng mga PayPal account kasama ng kanilang mga nauugnay na email address.

Sinisimulan ng script ang kahilingan sa PayPal API sa pamamagitan ng website na hxxps://www.robertkalinkin.com/index.php, na pagmamay-ari ng retail sales site ng Lithuanian fashion designer. Nakakaintriga, lahat ng natukoy na sample ng FBot ay gumagamit ng website na ito para sa pagpapatunay ng mga kahilingan sa PayPal API, isang gawi na ibinahagi ng ilang mga sample ng Legion Stealer.

Bukod dito, kasama sa FBot ang mga tampok na partikular sa AWS upang siyasatin ang mga detalye ng configuration ng email ng AWS Simple Email Service (SES) at tiyakin ang mga quota ng serbisyo ng EC2 ng naka-target na account. Ang functionality na nauugnay sa Twilio ay parehong ginagamit upang mangalap ng mga detalye tungkol sa account, tulad ng balanse, pera, at mga naka-link na numero ng telepono. Ang mga kakayahan ay lumalawak pa, dahil ang malware ay bihasa sa pagkuha ng mga kredensyal mula sa mga file sa kapaligiran ng Laravel.

Maaaring Isang Custom-Made Malware Tool ang FBot

Napansin ang mga insidente ng mga operasyon ng pag-atake na gumagamit ng FBot Hacking Tool, mula Hulyo 2022 hanggang simula ng 2024, na nagpapahiwatig ng patuloy na aktibong paggamit sa ligaw. Gayunpaman, ang kasalukuyang katayuan tungkol sa pagpapanatili ng tool at mga paraan ng pamamahagi sa ibang mga aktor ay nananatiling hindi alam.

May mga palatandaan na nagmumungkahi na ang FBot ay maaaring magresulta mula sa mga pribadong pagsisikap sa pag-unlad, na nagpapahiwatig na ang mga kamakailang build ay maaaring ipalaganap sa pamamagitan ng isang mas lokal na operasyon. Naaayon ito sa umiiral na trend ng mga tool sa pag-atake ng ulap na gumagana bilang pasadyang 'mga pribadong bot' na iniakma para sa mga indibidwal na mamimili, na sumasalamin sa diskarteng naobserbahan sa mga build ng AlienFox.