FBot est un nouvel outil malveillant ciblant AWS
Un outil de piratage récemment découvert nommé FBot, développé en Python, cible désormais une gamme de services en ligne, notamment des serveurs Web, des plateformes cloud, des systèmes de gestion de contenu et des plateformes de logiciels en tant que service comme Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid et Twilio.
Selon le chercheur en sécurité Alex Delamotte, FBot est équipé de diverses fonctionnalités telles que la collecte d'informations d'identification pour les attaques de spam, des outils de piratage de comptes AWS et des fonctionnalités permettant des attaques sur PayPal et différents comptes SaaS. Delamotte a rapporté ces découvertes dans un document partagé avec le site de sécurité informatique The Hacker News.
Bien que FBot rejoigne les rangs d'autres outils de piratage cloud comme AlienFox, GreenBot (également connu sous le nom de Maintance), Legion et Predator, il se distingue par son absence de référence à un code source d'AndroxGh0st. Bien qu'il partage des similitudes avec Legion, identifié pour la première fois l'année dernière, FBot est considéré comme une entité distincte.
L'objectif principal de FBot est de compromettre les services cloud, SaaS et Web, en obtenant un accès initial en récoltant les informations d'identification. Les hackers cherchent alors à monétiser cet accès en le vendant à d’autres acteurs de l’écosystème cybercriminel.
FBot est bien équipé
FBot offre une gamme de fonctionnalités, notamment la génération de clés API pour AWS et Sendgrid, ainsi que des capacités permettant de produire des adresses IP aléatoires, d'exécuter des scanners IP inversés et de valider les comptes PayPal ainsi que les adresses e-mail associées.
Il est intéressant de noter que le script utilisé par FBot lance les requêtes API PayPal via le site Web « hxxps://www.robertkalinkin.com/index.php », qui est un site Web de vente au détail d'un créateur de mode lituanien. Il s’agit de la méthode d’authentification systématiquement utilisée par tous les échantillons FBot identifiés et certains échantillons Legion Stealer.
De plus, FBot intègre des fonctionnalités spécifiques à AWS pour vérifier les détails de configuration de la messagerie AWS Simple Email Service (SES) et déterminer les quotas de service EC2 du compte ciblé. Des fonctionnalités liées à Twilio sont également présentes pour collecter des informations sur le compte, notamment le solde, la devise et les numéros de téléphone connectés.
De plus, FBot a la capacité d'extraire les informations d'identification des fichiers d'environnement Laravel. Les chercheurs ont identifié des échantillons de FBot remontant à juillet 2022, indiquant une utilisation active dans la nature. Cependant, il reste difficile de savoir si l’outil est activement maintenu et comment il est distribué parmi les autres acteurs de la menace.