Ein neues Hacking-Tool namens FBot, das auf Python basiert, wurde entdeckt und zielt auf Webserver, Cloud-Dienste, Content-Management-Systeme (CMS) und SaaS-Plattformen wie Amazon Web Services (AWS), Microsoft 365, PayPal, Sendgrid und Twilio ab. Laut dem Sicherheitsforscher Alex Delamotte von SentinelOne umfasst FBot Funktionen wie das Sammeln von Zugangsdaten für Spamming-Angriffe, AWS-Kontoübernahme-Tools und Funktionen, um Angriffe gegen PayPal und verschiedene SaaS-Konten zu ermöglichen. FBot ist das neueste Tool in der Liste der Cloud-Hacking-Tools wie AlienFox, GreenBot (auch bekannt als Maintance), Legion und Predator, wobei die letzten vier Code-Überschneidungen mit AndroxGh0st aufweisen. SentinelOne beschreibt FBot als „verwandt, aber unterschiedlich von diesen Familien“ und hebt hervor, dass es keinen Bezug zu AndroxGh0st aufweist, obwohl es Ähnlichkeiten mit Legion aufweist, das im letzten Jahr erstmals bekannt wurde.
Das Ziel des Tools ist es, Cloud-, SaaS- und Webdienste zu übernehmen sowie Zugangsdaten zu sammeln, um den Zugang an andere Akteure zu verkaufen. FBot generiert unter anderem API-Schlüssel für AWS und Sendgrid, enthält Funktionen zur Generierung zufälliger IP-Adressen, zum Ausführen von Reverse-IP-Scannern sowie zur Validierung von PayPal-Konten und den E-Mail-Adressen, die mit diesen Konten verknüpft sind. Darüber hinaus enthält FBot AWS-spezifische Funktionen, um Konfigurationsdetails für AWS Simple Email Service (SES) zu überprüfen und die Kapazitäten des EC2-Dienstes des Zielkontos zu bestimmen. Die Funktionalität von Twilio wird ebenfalls genutzt, um Informationen über das Konto, wie den Kontostand, die Währung und die Telefonnummern, die mit dem Konto verbunden sind, zu sammeln. Das Hacking-Tool kann auch Zugangsdaten aus Laravel-Umgebungsdateien extrahieren.
SentinelOne hat Proben von FBot von Juli 2022 bis in diesem Monat gefunden, was darauf hindeutet, dass es aktiv in freier Wildbahn eingesetzt wird. Es ist jedoch nicht bekannt, ob das Tool aktiv gepflegt wird und wie es an andere Akteure verteilt wird. Delamotte vermutet, dass FBot das Ergebnis einer privaten Entwicklungsarbeit ist und möglicherweise über einen kleineren Vertriebsweg verbreitet wird. Dies entspricht dem Trend von Cloud-Angriffstools als maßgeschneiderte „privaten Bots“, die auf die individuellen Käufer zugeschnitten sind, was bei AlienFox-Builds weit verbreitet ist.