FBot Hack Tool
Un outil de piratage émergent nommé FBot, développé à l'aide de Python, a été découvert en mettant l'accent sur l'infiltration de serveurs Web, de services cloud, de systèmes de gestion de contenu (CMS) et de plates-formes Software as a Service (SaaS) comme Amazon Web Services (AWS), Microsoft. 365, PayPal, Sendgrid et Twilio. Les fonctionnalités remarquables incluent la collecte d'informations d'identification pour les attaques de spam, des outils facilitant le piratage de comptes AWS et des capacités permettant d'exécuter des attaques sur PayPal et divers comptes SaaS.
Table des matières
Similitudes trouvées entre l’outil de piratage FBot et d’autres familles de logiciels malveillants
FBot a rejoint les rangs des outils de piratage cloud comme AlienFox , GreenBot (également connu sous le nom de Maintance), Legion et Predator . Notamment, ces quatre derniers outils partagent des similitudes au niveau du code avec AndroxGh0st.
Les chercheurs distinguent FBot comme un outil lié à ces familles d’outils, mais distinct de celles-ci. Contrairement à ses homologues, FBot ne référence aucun code source d’AndroxGh0st. Cependant, il présente des similitudes avec Legion, apparues l’année précédente.
L'objectif ultime de FBot est de réquisitionner le cloud, le logiciel en tant que service (SaaS) et les services Web. Pour ce faire, il récupère les informations d’identification pour obtenir un accès initial, puis monétise cet accès en le vendant à d’autres acteurs malveillants.
FBot peut effectuer diverses activités dangereuses
FBot génère non seulement des clés API pour AWS et Sendgrid, mais intègre également une variété de fonctionnalités, notamment la création d'adresses IP aléatoires, l'exécution de scanners IP inversés et la validation des comptes PayPal ainsi que de leurs adresses e-mail associées.
Le script initialise la requête API PayPal via le site Web hxxps://www.robertkalinkin.com/index.php, qui appartient au site de vente au détail d'un créateur de mode lituanien. Curieusement, tous les échantillons FBot identifiés utilisent ce site Web pour authentifier les requêtes API PayPal, un comportement partagé par plusieurs échantillons Legion Stealer.
De plus, FBot inclut des fonctionnalités spécifiques à AWS pour inspecter les détails de configuration de la messagerie AWS Simple Email Service (SES) et vérifier les quotas de service EC2 du compte ciblé. La fonctionnalité liée à Twilio est également utilisée pour recueillir des détails sur le compte, tels que le solde, la devise et les numéros de téléphone associés. Les capacités s'étendent encore plus, car le malware est capable d'extraire les informations d'identification des fichiers de l'environnement Laravel.
FBot peut être un outil malveillant sur mesure
Des incidents d’opérations d’attaque utilisant l’outil de piratage FBot ont été notés, s’étendant de juillet 2022 au début 2024, indiquant une utilisation active continue dans la nature. Néanmoins, l'état actuel des modalités de maintenance et de diffusion de l'outil auprès des autres acteurs reste inconnu.
Certains signes suggèrent que FBot pourrait résulter d’efforts de développement privés, ce qui implique que les constructions récentes pourraient être diffusées via une opération plus localisée. Cela correspond à la tendance dominante des outils d'attaque dans le cloud fonctionnant comme des « robots privés » sur mesure adaptés aux acheteurs individuels, reflétant l'approche observée dans les versions d'AlienFox.
