FBot er et nytt ondsinnet verktøy som målretter mot AWS
Et nylig oppdaget hackerverktøy kalt FBot, utviklet i Python, retter seg nå mot en rekke nettjenester, inkludert webservere, skyplattformer, innholdsstyringssystemer og programvare som en tjeneste-plattformer som Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid og Twilio.
I følge sikkerhetsforsker Alex Delamotte er FBot utstyrt med forskjellige funksjoner som innhenting av legitimasjon for spammingangrep, verktøy for å kapre AWS-kontoer og funksjoner som muliggjør angrep på PayPal og forskjellige SaaS-kontoer. Delamotte rapporterte disse funnene i et dokument som ble delt med IT-sikkerhetsutsalget The Hacker News.
Mens FBot føyer seg inn i rekken av andre skyhackingsverktøy som AlienFox, GreenBot (også kjent som Maintance), Legion og Predator, skiller den seg ut som distinkt på grunn av mangelen på referanse til kildekode fra AndroxGh0st. Selv om den deler likheter med Legion, som først ble identifisert i fjor, regnes FBot som en egen enhet.
Hovedmålet med FBot er å kompromittere sky-, SaaS- og webtjenester, og få førstegangstilgang ved å hente inn legitimasjon. Hackerne prøver deretter å tjene penger på denne tilgangen ved å selge den til andre aktører i økosystemet for nettkriminalitet.
FBot kommer velutstyrt
FBot tilbyr en rekke funksjoner, inkludert generering av API-nøkler for AWS og Sendgrid, samt muligheter for å produsere tilfeldige IP-adresser, kjøre omvendte IP-skannere og validere PayPal-kontoer sammen med tilhørende e-postadresser.
Interessant nok initierer skriptet som brukes av FBot PayPal API-forespørsler gjennom nettstedet "hxxps://www.robertkalinkin.com/index.php", som er et detaljsalgsnettsted for en litauisk motedesigner. Dette er autentiseringsmetoden som konsekvent brukes av alle identifiserte FBot-prøver og noen Legion Stealer-prøver.
Dessuten inkorporerer FBot AWS-spesifikke funksjoner for å sjekke AWS Simple Email Service (SES) e-postkonfigurasjonsdetaljer og bestemme målkontoens EC2-tjenestekvoter. Twilio-relatert funksjonalitet er også til stede for å samle informasjon om kontoen, inkludert saldo, valuta og tilkoblede telefonnumre.
I tillegg har FBot muligheten til å trekke ut legitimasjon fra Laravel-miljøfiler. Forskere har identifisert FBot-prøver som dateres tilbake til juli 2022, noe som indikerer aktiv bruk i naturen. Det er imidlertid fortsatt uklart om verktøyet vedlikeholdes aktivt og hvordan det fordeles blant andre trusselaktører.