Una nueva herramienta de hacking basada en Python llamada FBot Se ha descubierto que apunta a servidores web, servicios en la nube, sistemas de gestión de contenidos (CMS) y plataformas SaaS como Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid y Twilio.
«Las características clave incluyen recolección de credenciales para ataques de spam, herramientas de secuestro de cuentas de AWS y funciones para permitir ataques contra PayPal y varias cuentas SaaS», dijo el investigador de seguridad de SentinelOne, Alex Delamotte. dicho en un informe compartido con The Hacker News.
FBot es la última incorporación a la lista de herramientas de piratería en la nube como AlienFox, GreenBot (también conocido como Maintance), Legion y Predator, las últimas cuatro comparten superposiciones a nivel de código con AndroxGh0st.
SentinelOne describió a FBot como «relacionado pero distinto de estas familias», debido al hecho de que no hace referencia a ningún código fuente de AndroxGh0st, aunque muestra similitudes con Legion, que salió a la luz por primera vez el año pasado.
El objetivo final de la herramienta es secuestrar la nube, SaaS y servicios web, así como recopilar credenciales para obtener acceso inicial y monetizarlo vendiendo el acceso a otros actores.
FBot, además de generar claves API para AWS y Sendgrid, incluye una variedad de funciones para generar direcciones IP aleatorias, ejecutar escáneres de IP inversos e incluso validar cuentas de PayPal y las direcciones de correo electrónico asociadas con esas cuentas.
«El script inicia la solicitud de la API de Paypal a través del sitio web hxxps://www.robertkalinkin.com/index.php, que es el sitio web de ventas minoristas de un diseñador de moda lituano», señaló Delamotte. «Curiosamente, todas las muestras de FBot identificadas utilizan este sitio web para autenticar las solicitudes de API de Paypal, y varias muestras de Legion Stealer también lo hacen».
Además de eso, FBot incluye funciones específicas de AWS para verificar los detalles de configuración de correo electrónico de AWS Simple Email Service (SES) y determinar las cuotas de servicio EC2 de la cuenta de destino. Asimismo, la funcionalidad relacionada con Twilio se utiliza para recopilar detalles sobre la cuenta, es decir, el saldo, la moneda y los números de teléfono conectados a la cuenta.
Las características no terminan ahí, ya que el malware también es capaz de extraer credenciales de archivos del entorno Laravel.
La firma de ciberseguridad dijo que descubrió muestras desde julio de 2022 hasta este mes, lo que sugiere que se está utilizando activamente en la naturaleza. Dicho esto, actualmente no se sabe si la herramienta se mantiene activamente y cómo se distribuye a otros jugadores.
«Encontramos indicios de que FBot es producto de un trabajo de desarrollo privado, por lo que las construcciones contemporáneas pueden distribuirse a través de una operación de menor escala», dijo Delamotte.
«Esto se alinea con el tema de que las herramientas de ataque en la nube son ‘bots privados’ personalizados para el comprador individual, que es un tema frecuente entre las versiones de AlienFox».