FBot Hack Tool
Es wurde ein neues Hacking-Tool namens FBot entdeckt, das mit Python entwickelt wurde und dessen Schwerpunkt auf der Infiltration von Webservern, Cloud-Diensten, Content-Management-Systemen (CMS) und Software-as-a-Service-Plattformen (SaaS) wie Amazon Web Services (AWS) und Microsoft liegt 365, PayPal, Sendgrid und Twilio. Zu den bemerkenswerten Funktionen gehören das Sammeln von Anmeldeinformationen für Spam-Angriffe, Tools zur Erleichterung der Übernahme von AWS-Konten sowie Funktionen zur Durchführung von Angriffen auf PayPal und verschiedene SaaS-Konten.
Inhaltsverzeichnis
Ähnlichkeiten zwischen dem FBot-Hacking-Tool und anderen Malware-Familien gefunden
FBot hat sich den Reihen von Cloud-Hacking-Tools wie AlienFox, GreenBot (auch bekannt als Maintance), Legion und Predator angeschlossen. Bemerkenswert ist, dass die letzten vier Tools auf Codeebene Ähnlichkeiten mit AndroxGh0st aufweisen.
Forscher unterscheiden FBot als ein Tool, das mit diesen Toolfamilien verwandt ist, sich jedoch von ihnen unterscheidet. Im Gegensatz zu seinen Gegenstücken verweist FBot nicht auf den Quellcode von AndroxGh0st. Es weist jedoch Ähnlichkeiten mit Legion auf, das im Vorjahr aufgetaucht ist.
Das ultimative Ziel von FBot ist die Übernahme der Cloud, Software as a Service (SaaS) und Webdienste. Dies wird erreicht, indem Anmeldeinformationen gesammelt werden, um ersten Zugriff zu erhalten, und dieser Zugriff anschließend durch den Verkauf an andere Bedrohungsakteure monetarisiert wird.
FBot kann verschiedene unsichere Aktivitäten ausführen
FBot generiert nicht nur API-Schlüssel für AWS und Sendgrid, sondern umfasst auch eine Vielzahl von Funktionen, darunter die Erstellung zufälliger IP-Adressen, die Ausführung von Reverse-IP-Scannern und die Validierung von PayPal-Konten zusammen mit den zugehörigen E-Mail-Adressen.
Das Skript initialisiert die PayPal-API-Anfrage über die Website hxxps://www.robertkalinkin.com/index.php, die zur Einzelhandelsverkaufsseite eines litauischen Modedesigners gehört. Interessanterweise nutzen alle identifizierten FBot-Beispiele diese Website zur Authentifizierung von PayPal-API-Anfragen, ein Verhalten, das mehrere Legion Stealer-Beispiele gemeinsam haben.
Darüber hinaus enthält FBot AWS-spezifische Funktionen zur Überprüfung der E-Mail-Konfigurationsdetails des AWS Simple Email Service (SES) und zur Ermittlung der EC2-Dienstkontingente des Zielkontos. Die Twilio-bezogene Funktionalität wird in ähnlicher Weise verwendet, um Details zum Konto zu sammeln, wie etwa den Kontostand, die Währung und verknüpfte Telefonnummern. Die Fähigkeiten erweitern sich noch weiter, da die Malware in der Lage ist, Anmeldeinformationen aus Laravel-Umgebungsdateien zu extrahieren.
FBot ist möglicherweise ein maßgeschneidertes Malware-Tool
Zwischen Juli 2022 und Anfang 2024 wurden Vorfälle von Angriffen mit dem Hacking-Tool FBot festgestellt, was auf eine weiterhin aktive Nutzung in freier Wildbahn hindeutet. Dennoch ist der aktuelle Status hinsichtlich der Wartungs- und Verteilungsmethoden des Tools an andere Akteure weiterhin unbekannt.
Es gibt Anzeichen dafür, dass FBot das Ergebnis privater Entwicklungsbemühungen sein könnte, was darauf hindeutet, dass neuere Builds durch einen lokaleren Betrieb verbreitet werden könnten. Dies steht im Einklang mit dem vorherrschenden Trend, dass Cloud-Angriffstools als maßgeschneiderte „private Bots“ fungieren, die auf einzelne Käufer zugeschnitten sind, und spiegelt den Ansatz wider, der bei AlienFox-Builds beobachtet wird.
