FBot é uma nova ferramenta maliciosa direcionada à AWS

Uma ferramenta de hacking recentemente descoberta chamada FBot, desenvolvida em Python, agora tem como alvo uma variedade de serviços online, incluindo servidores web, plataformas em nuvem, sistemas de gerenciamento de conteúdo e plataformas de software como serviço, como Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid e Twilio.

De acordo com o pesquisador de segurança Alex Delamotte, o FBot vem equipado com vários recursos, como coleta de credenciais para ataques de spam, ferramentas para sequestro de contas AWS e funcionalidades que permitem ataques ao PayPal e diferentes contas SaaS. Delamotte relatou essas descobertas em um documento compartilhado com o canal de segurança de TI The Hacker News.

Embora o FBot se junte a outras ferramentas de hacking em nuvem, como AlienFox, GreenBot (também conhecido como Maintance), Legion e Predator, ele se destaca pela falta de referência a qualquer código-fonte do AndroxGh0st. Embora compartilhe semelhanças com o Legion, identificado pela primeira vez no ano passado, o FBot é considerado uma entidade separada.

O objetivo principal do FBot é comprometer serviços em nuvem, SaaS e web, obtendo acesso inicial por meio da coleta de credenciais. Os hackers procuram então monetizar esse acesso, vendendo-o a outros intervenientes no ecossistema do crime cibernético.

FBot vem bem equipado

O FBot oferece uma variedade de recursos, incluindo a geração de chaves de API para AWS e Sendgrid, bem como recursos para produzir endereços IP aleatórios, executar scanners de IP reverso e validar contas do PayPal junto com endereços de e-mail associados.

Curiosamente, o script usado pelo FBot inicia solicitações de API do PayPal através do site “hxxps://www.robertkalinkin.com/index.php”, que é um site de vendas no varejo de um estilista lituano. Este é o método de autenticação empregado consistentemente por todas as amostras identificadas do FBot e algumas amostras do Legion Stealer.

Além disso, o FBot incorpora recursos específicos da AWS para verificar os detalhes de configuração de e-mail do AWS Simple Email Service (SES) e determinar as cotas de serviço EC2 da conta de destino. A funcionalidade relacionada ao Twilio também está presente para coletar informações sobre a conta, incluindo saldo, moeda e números de telefone conectados.

Além disso, o FBot tem a capacidade de extrair credenciais de arquivos do ambiente Laravel. Os pesquisadores identificaram amostras de FBot que datam de julho de 2022, indicando uso ativo na natureza. No entanto, ainda não está claro se a ferramenta é mantida ativamente e como é distribuída entre outros atores de ameaças.