FBot ist ein neues bösartiges Tool, das auf AWS abzielt

Ein kürzlich entdecktes Hacking-Tool namens FBot, das in Python entwickelt wurde, zielt nun auf eine Reihe von Online-Diensten ab, darunter Webserver, Cloud-Plattformen, Content-Management-Systeme und Software-as-a-Service-Plattformen wie Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid und Twilio.

Laut dem Sicherheitsforscher Alex Delamotte ist FBot mit verschiedenen Funktionen ausgestattet, wie z. B. dem Sammeln von Anmeldeinformationen für Spam-Angriffe, Tools zum Kapern von AWS-Konten und Funktionen, die Angriffe auf PayPal und verschiedene SaaS-Konten ermöglichen. Delamotte berichtete über diese Ergebnisse in einem Dokument, das dem IT-Sicherheitsmagazin The Hacker News zur Verfügung gestellt wurde.

FBot reiht sich zwar in die Reihe anderer Cloud-Hacking-Tools wie AlienFox, GreenBot (auch bekannt als Maintance), Legion und Predator ein, zeichnet sich jedoch dadurch aus, dass es keinen Verweis auf Quellcode von AndroxGh0st enthält. Obwohl es Ähnlichkeiten mit Legion aufweist, das letztes Jahr erstmals identifiziert wurde, wird FBot als eigenständige Einheit betrachtet.

Das Hauptziel von FBot besteht darin, Cloud-, SaaS- und Webdienste zu kompromittieren und sich durch das Sammeln von Anmeldeinformationen ersten Zugriff zu verschaffen. Anschließend versuchen die Hacker, diesen Zugriff zu monetarisieren, indem sie ihn an andere Akteure im Ökosystem der Cyberkriminalität verkaufen.

FBot ist gut ausgestattet

FBot bietet eine Reihe von Funktionen, darunter die Generierung von API-Schlüsseln für AWS und Sendgrid sowie Funktionen zur Erzeugung zufälliger IP-Adressen, zur Ausführung von Reverse-IP-Scannern und zur Validierung von PayPal-Konten zusammen mit zugehörigen E-Mail-Adressen.

Interessanterweise initiiert das von FBot verwendete Skript PayPal-API-Anfragen über die Website „hxxps://www.robertkalinkin.com/index.php“, eine Einzelhandelsverkaufswebsite für einen litauischen Modedesigner. Dies ist die Authentifizierungsmethode, die von allen identifizierten FBot-Proben und einigen Legion Stealer-Proben konsequent verwendet wird.

Darüber hinaus enthält FBot AWS-spezifische Funktionen, um die E-Mail-Konfigurationsdetails des AWS Simple Email Service (SES) zu überprüfen und die EC2-Dienstkontingente des Zielkontos zu bestimmen. Twilio-bezogene Funktionen sind ebenfalls vorhanden, um Informationen über das Konto zu sammeln, einschließlich Kontostand, Währung und verbundene Telefonnummern.

Darüber hinaus verfügt FBot über die Möglichkeit, Anmeldeinformationen aus Laravel-Umgebungsdateien zu extrahieren. Forscher haben FBot-Proben aus dem Juli 2022 identifiziert, die auf eine aktive Nutzung in freier Wildbahn hinweisen. Es bleibt jedoch unklar, ob das Tool aktiv gepflegt wird und wie es unter anderen Bedrohungsakteuren verbreitet wird.