FBot Hack Tool
Se ha descubierto una herramienta de piratería emergente llamada FBot, desarrollada con Python, que se centra en infiltrarse en servidores web, servicios en la nube, sistemas de gestión de contenidos (CMS) y plataformas de software como servicio (SaaS) como Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid y Twilio. Las funcionalidades dignas de mención incluyen la recolección de credenciales para ataques de spam, herramientas que facilitan el secuestro de cuentas de AWS y capacidades para ejecutar ataques en PayPal y varias cuentas SaaS.
Tabla de contenido
Similitudes encontradas entre la herramienta de piratería FBot y otras familias de malware
FBot se ha unido a las filas de herramientas de piratería en la nube como AlienFox , GreenBot (también conocido como Maintance), Legion y Predator . En particular, las últimas cuatro herramientas comparten similitudes a nivel de código con AndroxGh0st.
Los investigadores distinguen FBot como una herramienta relacionada con estas familias de herramientas, pero distinta de ellas. A diferencia de sus homólogos, FBot no hace referencia a ningún código fuente de AndroxGh0st. Sin embargo, presenta similitudes con Legion, que apareció el año anterior.
El objetivo final de FBot es apoderarse de la nube, el software como servicio (SaaS) y los servicios web. Lo logra recopilando credenciales para obtener acceso inicial y posteriormente monetiza este acceso vendiéndolo a otros actores de amenazas.
FBot puede realizar diversas actividades inseguras
FBot no solo genera claves API para AWS y Sendgrid, sino que también incorpora una variedad de funcionalidades, incluida la creación de direcciones IP aleatorias, la ejecución de escáneres de IP inversos y la validación de cuentas de PayPal junto con sus direcciones de correo electrónico asociadas.
El script inicializa la solicitud API de PayPal a través del sitio web hxxps://www.robertkalinkin.com/index.php, que pertenece al sitio de ventas minoristas de un diseñador de moda lituano. Curiosamente, todas las muestras de FBot identificadas emplean este sitio web para autenticar solicitudes de API de PayPal, un comportamiento compartido por varias muestras de Legion Stealer.
Además, FBot incluye funciones específicas de AWS para inspeccionar los detalles de configuración de correo electrónico de AWS Simple Email Service (SES) y determinar las cuotas de servicio EC2 de la cuenta de destino. La funcionalidad relacionada con Twilio se emplea de manera similar para recopilar detalles sobre la cuenta, como el saldo, la moneda y los números de teléfono vinculados. Las capacidades se extienden más allá, ya que el malware es competente para extraer credenciales de archivos del entorno Laravel.
FBot puede ser una herramienta de malware hecha a medida
Se han observado incidentes de operaciones de ataque que emplean la herramienta de piratería FBot, desde julio de 2022 hasta principios de 2024, lo que indica un uso activo continuo en la naturaleza. Sin embargo, se desconoce el estado actual de los métodos de mantenimiento y distribución de la herramienta a otros actores.
Hay indicios que sugieren que FBot puede ser el resultado de esfuerzos de desarrollo privados, lo que implica que las construcciones recientes podrían difundirse a través de una operación más localizada. Esto se alinea con la tendencia predominante de que las herramientas de ataque en la nube funcionen como 'bots privados' personalizados para compradores individuales, reflejando el enfoque observado en las compilaciones de AlienFox.
