Een nieuwe op Python gebaseerde hacktool genaamd FBot Er is ontdekt dat het zich richt op webservers, cloudservices, contentmanagementsystemen (CMS) en SaaS-platforms zoals Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid en Twilio.
“Belangrijke functies zijn onder meer het verzamelen van inloggegevens voor spamaanvallen, tools voor het kapen van AWS-accounts en functies om aanvallen op PayPal en verschillende SaaS-accounts mogelijk te maken”, zei SentinelOne-beveiligingsonderzoeker Alex Delamotte in een rapport gedeeld met The Hacker News.
FBot is de nieuwste toevoeging aan de lijst met cloud-hacktools zoals AlienFox, GreenBot (ook bekend als Maintance), Legion en Predator, waarvan de laatste vier overlappingen op codeniveau delen met AndroxGh0st.
SentinelOne omschreef FBot als “verwant maar verschillend van deze families”, vanwege het feit dat het niet verwijst naar broncode van AndroxGh0st, hoewel het overeenkomsten vertoont met Legion, dat vorig jaar voor het eerst aan het licht kwam.
Het uiteindelijke doel van de tool is het kapen van cloud-, SaaS- en webservices en het verzamelen van inloggegevens om initiële toegang te verkrijgen en daar geld mee te verdienen door de toegang aan andere actoren te verkopen.
FBot biedt niet alleen API-sleutels voor AWS en Sendgrid, maar ook een assortiment functies om willekeurige IP-adressen te genereren, omgekeerde IP-scanners uit te voeren en zelfs PayPal-accounts en de e-mailadressen die aan die accounts zijn gekoppeld, te valideren.
“Het script initieert het Paypal API-verzoek via de website hxxps://www.robertkalinkin.com/index.php, de verkoopwebsite van een Litouwse modeontwerper”, merkte Delamotte op. “Interessant is dat alle geïdentificeerde FBot-voorbeelden deze website gebruiken om de Paypal API-verzoeken te authenticeren, en verschillende Legion Stealer-voorbeelden doen dat ook.”
Bovendien bevat FBot AWS-specifieke functies om te controleren op e-mailconfiguratiegegevens van AWS Simple Email Service (SES) en om de EC2-servicequota van het beoogde account te bepalen. De Twilio-gerelateerde functionaliteit wordt eveneens gebruikt om details over het account te verzamelen, namelijk het saldo, de valuta en telefoonnummers die aan het account zijn gekoppeld.
Daar houden de functies niet op, want de malware is ook in staat inloggegevens uit Laravel-omgevingsbestanden te extraheren.
Het cyberbeveiligingsbedrijf zei dat het vanaf juli 2022 tot deze maand monsters heeft ontdekt, wat erop wijst dat het actief in het wild wordt gebruikt. Dat gezegd hebbende, is het momenteel niet bekend of de tool actief wordt onderhouden en hoe deze onder andere spelers wordt gedistribueerd.
“We hebben aanwijzingen gevonden dat FBot het product is van particulier ontwikkelingswerk, dus hedendaagse bouwwerken kunnen via een kleinschaligere operatie worden gedistribueerd”, aldus Delamotte.
“Dit sluit aan bij het thema dat cloudaanvaltools op maat gemaakte ‘privébots’ zijn, op maat gemaakt voor de individuele koper, een thema dat veel voorkomt bij AlienFox-builds.’
