Otkriven je novi alat za hakovanje baziran na Pythonu pod nazivom FBot koji cilja web servere, usluge u oblaku, sisteme za upravljanje sadržajem (CMS) i SaaS platforme kao što su Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid i Twilio.
“Ključne karakteristike uključuju prikupljanje kredencijala za napade neželjene pošte, alate za otimanje naloga AWS-a i funkcije za omogućavanje napada na PayPal i različite SaaS naloge”, rekao je istraživač sigurnosti SentinelOne Alex Delamotte u izvještaju koji je podijeljen za The Hacker News.
FBot je najnoviji dodatak listi alata za hakovanje u oblaku kao što su AlienFox, GreenBot (aka Maintance), Legion i Predator, od kojih posljednja četiri dijele preklapanje na nivou koda sa AndroxGh0st.
SentinelOne je opisao FBot kao “srodan, ali različit od ovih porodica”, zbog činjenice da ne referencira nikakav izvorni kod iz AndroxGh0st, iako pokazuje sličnosti sa Legionom, koji je prvi put izašao na vidjelo prošle godine.
Krajnji cilj alata je otimanje cloud, SaaS i web servisa, kao i prikupljanje kredencijala kako bi se dobio početni pristup i monetizovao prodajom pristupa drugim hakerima.
FBot, pored generisanja API ključeva za AWS i Sendgrid, sadrži niz funkcija za generisanje nasumičnih IP adresa, pokretanje obrnutih IP skenera, pa čak i provjeru valjanosti PayPal naloga i e-mail adresa povezanih s tim nalozima.
“Skripta pokreće Paypal API zahtjev putem web stranice hxxps://www.robertkalinkin.com/index.php, koja je maloprodajna web stranica litvanskog modnog dizajnera,” napomenuo je Delamotte. “Zanimljivo je da svi identifikovani uzorci FBot-a koriste ovu web stranicu za provjeru autentičnosti Paypal API zahtjeva, kao i nekoliko primjera Legion Stealer-a takođe.”
Povrh toga, FBot upakuje karakteristike specifične za AWS kako bi provjerio detalje o konfiguraciji e-pošte AWS Simple Email Service (SES) i odredio kvote EC2 usluga ciljanog naloga. Funkcija vezana za Twilio se takođe koristi za prikupljanje podataka o nalogu, odnosno stanja, valute i telefonskih brojeva povezanih s nalogom.
Funkcije se tu ne završavaju, jer malver takođe može izvući kredencijale iz datoteka baziranih na Laravel okruženju.
Firma za sajber sigurnost saopštila je da je otkrila uzorke počev od jula 2022. pa sve do ovog mjeseca, sugerišući da se aktivno koristi u okruženju. Uz to, trenutno nije poznato da li se alat aktivno održava i kako se distribuiše drugim hakerima.
„Pronašli smo naznake da je FBot proizvod privatnog razvoja, tako da se savremene verzije mogu distribuisati kroz operacije manjeg obima“, rekao je Delamotte.
“Ovo je u skladu s temom alata za napad u oblaku koji su ‘privatni botovi’ prilagođeni individualnom kupcu, što je tema koja prevladava među AlienFox-ovima.”
Izvor: The Hacker News
