Az FBot egy új rosszindulatú eszköz célzó AWS

A nemrég felfedezett, Pythonban kifejlesztett FBot nevű hackereszköz most számos online szolgáltatást céloz meg, beleértve a webszervereket, felhőplatformokat, tartalomkezelő rendszereket és szoftvereket, mint szolgáltatási platformokat, mint például az Amazon Web Services (AWS), a Microsoft 365, a PayPal, Sendgrid és Twilio.

Alex Delamotte biztonsági kutató szerint az FBot különféle funkciókkal van felszerelve, mint például a hitelesítő adatok begyűjtése a spamtámadásokhoz, az AWS-fiókok eltérítésére szolgáló eszközök, valamint a PayPal és a különböző SaaS-fiókok elleni támadásokat lehetővé tevő funkciók. Delamotte ezekről a megállapításokról számolt be a The Hacker News IT-biztonsági irodával megosztott dokumentumban.

Míg az FBot csatlakozik a többi felhő-hackelő eszközhöz, mint például az AlienFox, a GreenBot (más néven Maintance), a Legion és a Predator, mégis kiemelkedik, mivel nem hivatkozik az AndroxGh0st forráskódjára. Bár hasonlóságokat mutat a Legionnal, amelyet először tavaly azonosítottak, az FBot külön entitásnak számít.

Az FBot elsődleges célja a felhő, a SaaS és a webszolgáltatások veszélyeztetése, és a hitelesítő adatok begyűjtésével megszerezni a kezdeti hozzáférést. A hackerek ezután a kiberbűnözési ökoszisztéma más szereplőinek történő eladásával igyekeznek pénzt szerezni ebből a hozzáférésből.

Az FBot jól felszerelt

Az FBot számos szolgáltatást kínál, beleértve az API-kulcsok generálását az AWS-hez és a Sendgridhez, valamint véletlenszerű IP-címek előállítására, fordított IP-szkennerek futtatására és PayPal-fiókok érvényesítésére a kapcsolódó e-mail-címekkel együtt.

Érdekes módon az FBot által használt szkript PayPal API-kéréseket kezdeményez a „hxxps://www.robertkalinkin.com/index.php” webhelyen keresztül, amely egy litván divattervező kiskereskedelmi webhelye. Ez az a hitelesítési módszer, amelyet az összes azonosított FBot minta és néhány Legion Stealer minta következetesen alkalmaz.

Ezenkívül az FBot AWS-specifikus funkciókat is tartalmaz az AWS Simple Email Service (SES) e-mail konfigurációs részleteinek ellenőrzéséhez és a megcélzott fiók EC2 szolgáltatáskvótáinak meghatározásához. A Twilio-hoz kapcsolódó funkciók is rendelkezésre állnak a számlával kapcsolatos információk gyűjtésére, beleértve az egyenleget, a pénznemet és a csatlakoztatott telefonszámokat.

Ezenkívül az FBot képes hitelesítő adatokat kinyerni a Laravel környezeti fájlokból. A kutatók 2022 júliusáig visszamenőleg FBot mintákat azonosítottak, ami a vadonban való aktív felhasználásra utal. Továbbra sem világos azonban, hogy az eszközt aktívan karbantartják-e, és hogyan terjesztik el a többi fenyegetés szereplője között.