Το FBot είναι ένα νέο κακόβουλο εργαλείο που στοχεύει το AWS

Ένα εργαλείο hacking που ανακαλύφθηκε πρόσφατα με το όνομα FBot, που αναπτύχθηκε στην Python, στοχεύει τώρα μια σειρά διαδικτυακών υπηρεσιών, συμπεριλαμβανομένων διακομιστών ιστού, πλατφορμών cloud, συστημάτων διαχείρισης περιεχομένου και λογισμικού ως πλατφόρμες υπηρεσίας όπως οι υπηρεσίες Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid και Twilio.

Σύμφωνα με τον ερευνητή ασφαλείας Alex Delamotte, το FBot είναι εξοπλισμένο με διάφορα χαρακτηριστικά, όπως συλλογή διαπιστευτηρίων για επιθέσεις ανεπιθύμητης αλληλογραφίας, εργαλεία για την παραβίαση λογαριασμών AWS και λειτουργίες που επιτρέπουν επιθέσεις στο PayPal και σε διαφορετικούς λογαριασμούς SaaS. Η Delamotte ανέφερε αυτά τα ευρήματα σε ένα έγγραφο που κοινοποιήθηκε στο κατάστημα ασφάλειας πληροφορικής The Hacker News.

Ενώ το FBot εντάσσεται στις τάξεις άλλων εργαλείων hacking cloud, όπως το AlienFox, το GreenBot (γνωστό και ως Maintance), το Legion και το Predator, ξεχωρίζει ως ξεχωριστό λόγω της έλλειψης αναφοράς σε οποιονδήποτε πηγαίο κώδικα από το AndroxGh0st. Αν και μοιράζεται ομοιότητες με το Legion, το οποίο εντοπίστηκε για πρώτη φορά πέρυσι, το FBot θεωρείται ξεχωριστή οντότητα.

Ο πρωταρχικός στόχος του FBot είναι να θέσει σε κίνδυνο τις υπηρεσίες cloud, SaaS και web, αποκτώντας αρχική πρόσβαση μέσω συλλογής διαπιστευτηρίων. Στη συνέχεια, οι χάκερ επιδιώκουν να κερδίσουν χρήματα από αυτή την πρόσβαση πουλώντας την σε άλλους παράγοντες στο οικοσύστημα του εγκλήματος στον κυβερνοχώρο.

Το FBot έρχεται καλά εξοπλισμένο

Το FBot προσφέρει μια σειρά λειτουργιών, συμπεριλαμβανομένης της δημιουργίας κλειδιών API για AWS και Sendgrid, καθώς και δυνατότητες παραγωγής τυχαίων διευθύνσεων IP, εκτέλεσης αντίστροφων σαρωτών IP και επικύρωσης λογαριασμών PayPal μαζί με σχετικές διευθύνσεις email.

Είναι ενδιαφέρον ότι το σενάριο που χρησιμοποιείται από το FBot εκκινεί αιτήματα PayPal API μέσω του ιστότοπου "hxxps://www.robertkalinkin.com/index.php", που είναι ένας ιστότοπος λιανικών πωλήσεων για έναν Λιθουανό σχεδιαστή μόδας. Αυτή είναι η μέθοδος ελέγχου ταυτότητας που χρησιμοποιείται με συνέπεια από όλα τα αναγνωρισμένα δείγματα FBot και ορισμένα δείγματα Legion Stealer.

Επιπλέον, το FBot ενσωματώνει χαρακτηριστικά ειδικά για το AWS για τον έλεγχο των λεπτομερειών διαμόρφωσης email της υπηρεσίας απλής ηλεκτρονικής αλληλογραφίας AWS (SES) και τον προσδιορισμό των ποσοστώσεων υπηρεσιών EC2 του στοχευμένου λογαριασμού. Υπάρχει επίσης λειτουργία που σχετίζεται με το Twilio για τη συλλογή πληροφοριών σχετικά με τον λογαριασμό, συμπεριλαμβανομένων υπολοίπου, νομίσματος και συνδεδεμένων αριθμών τηλεφώνου.

Επιπλέον, το FBot έχει τη δυνατότητα εξαγωγής διαπιστευτηρίων από αρχεία περιβάλλοντος Laravel. Οι ερευνητές εντόπισαν δείγματα FBot που χρονολογούνται από τον Ιούλιο του 2022, υποδεικνύοντας ενεργή χρήση στη φύση. Ωστόσο, παραμένει ασαφές εάν το εργαλείο διατηρείται ενεργά και πώς διανέμεται μεταξύ άλλων παραγόντων απειλής.