FBot è un nuovo strumento dannoso che prende di mira AWS

Uno strumento di hacking scoperto di recente denominato FBot, sviluppato in Python, ora prende di mira una gamma di servizi online tra cui server Web, piattaforme cloud, sistemi di gestione dei contenuti e piattaforme software come servizi come Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid e Twilio.

Secondo il ricercatore di sicurezza Alex Delamotte, FBot è dotato di varie funzionalità come la raccolta di credenziali per attacchi di spamming, strumenti per il dirottamento di account AWS e funzionalità che consentono attacchi a PayPal e diversi account SaaS. Delamotte ha riportato questi risultati in un documento condiviso con l'organo di sicurezza IT The Hacker News.

Sebbene FBot si unisca ai ranghi di altri strumenti di cloud hacking come AlienFox, GreenBot (noto anche come Maintance), Legion e Predator, si distingue per la mancanza di riferimento a qualsiasi codice sorgente di AndroxGh0st. Sebbene condivida somiglianze con Legion, identificato per la prima volta l'anno scorso, FBot è considerato un'entità separata.

L'obiettivo principale di FBot è compromettere i servizi cloud, SaaS e Web, ottenendo l'accesso iniziale raccogliendo credenziali. Gli hacker cercano quindi di monetizzare questo accesso vendendolo ad altri attori nell’ecosistema del crimine informatico.

FBot è ben equipaggiato

FBot offre una gamma di funzionalità, inclusa la generazione di chiavi API per AWS e Sendgrid, nonché funzionalità per produrre indirizzi IP casuali, eseguire scanner IP inversi e convalidare conti PayPal insieme agli indirizzi e-mail associati.

È interessante notare che lo script utilizzato da FBot avvia le richieste API PayPal attraverso il sito web "hxxps://www.robertkalinkin.com/index.php", che è un sito web di vendita al dettaglio per uno stilista lituano. Questo è il metodo di autenticazione utilizzato costantemente da tutti i campioni FBot identificati e da alcuni campioni Legion Stealer.

Inoltre, FBot incorpora funzionalità specifiche di AWS per verificare i dettagli di configurazione e-mail di AWS Simple Email Service (SES) e determinare le quote di servizio EC2 dell'account target. Sono presenti anche funzionalità relative a Twilio per raccogliere informazioni sull'account, inclusi saldo, valuta e numeri di telefono collegati.

Inoltre, FBot ha la capacità di estrarre credenziali dai file dell'ambiente Laravel. I ricercatori hanno identificato campioni di FBot risalenti al luglio 2022, indicando un utilizzo attivo in natura. Tuttavia, non è chiaro se lo strumento venga mantenuto attivamente e come sia distribuito tra gli altri autori di minacce.