Un nouvel outil de piratage basé sur Python appelé FBot a été découvert ciblant les serveurs Web, les services cloud, les systèmes de gestion de contenu (CMS) et les plates-formes SaaS telles que Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid et Twilio.
« Les fonctionnalités clés incluent la collecte d’informations d’identification pour les attaques de spam, les outils de piratage de compte AWS et des fonctions permettant des attaques contre PayPal et divers comptes SaaS », a déclaré Alex Delamotte, chercheur en sécurité chez SentinelOne. dit dans un rapport partagé avec The Hacker News.
FBot est le dernier ajout à la liste des outils de piratage cloud comme AlienFox, GreenBot (alias Maintance), Legion et Predator, dont les quatre derniers partagent des chevauchements au niveau du code avec AndroxGh0st.
SentinelOne a décrit FBot comme « apparenté mais distinct de ces familles », en raison du fait qu’il ne fait référence à aucun code source d’AndroxGh0st, bien qu’il présente des similitudes avec Legion, qui a été révélé pour la première fois l’année dernière.
L’objectif final de l’outil est de détourner les services cloud, SaaS et Web, ainsi que de récolter des informations d’identification pour obtenir un accès initial et de les monétiser en vendant l’accès à d’autres acteurs.
FBot, en plus de générer des clés API pour AWS et Sendgrid, propose un assortiment de fonctionnalités pour générer des adresses IP aléatoires, exécuter des scanners IP inversés et même valider les comptes PayPal et les adresses e-mail associées à ces comptes.
« Le script lance la requête API Paypal via le site hxxps://www.robertkalinkin.com/index.php, qui est le site de vente au détail d’un créateur de mode lituanien », a noté Delamotte. « Fait intéressant, tous les échantillons FBot identifiés utilisent ce site Web pour authentifier les requêtes API Paypal, et plusieurs échantillons Legion Stealer le font également. »
En plus de cela, FBot intègre des fonctionnalités spécifiques à AWS pour vérifier les détails de configuration de la messagerie AWS Simple Email Service (SES) et déterminer les quotas de service EC2 du compte ciblé. De même, la fonctionnalité liée à Twilio est utilisée pour recueillir des détails sur le compte, à savoir le solde, la devise et les numéros de téléphone connectés au compte.
Les fonctionnalités ne s’arrêtent pas là, car le malware est également capable d’extraire les informations d’identification des fichiers de l’environnement Laravel.
La société de cybersécurité a déclaré avoir découvert des échantillons entre juillet 2022 et ce mois-ci, ce qui suggère qu’elle est activement utilisée dans la nature. Cela dit, on ne sait pas actuellement si l’outil est activement maintenu ni comment il est distribué aux autres joueurs.
« Nous avons trouvé des indications selon lesquelles FBot est le produit d’un travail de développement privé, de sorte que les constructions contemporaines pourraient être distribuées dans le cadre d’une opération à plus petite échelle », a déclaré Delamotte.
« Cela correspond au thème des outils d’attaque dans le cloud qui sont des « robots privés » sur mesure, adaptés à l’acheteur individuel, ce qui est un thème répandu parmi les versions d’AlienFox. »