Pesquisadores relatam sobre uma nova cepa de malware chamada FBot. Este programa malicioso baseado em Python parece ser uma ferramenta única para os cibercriminosos’ arsenal. Sua singularidade se deve à sua segmentação de serviços web e em nuvem. Uma análise mais aprofundada revela que foi potencialmente feito para um grupo específico de crimes cibernéticos ou para uso em ataques específicos.
FBot tem como alvo AWS, Twilio e Office365
FBot é uma ferramenta de hacking baseada em Python que foi recentemente detectado por analistas do SentinelOne, particularmente na sua segmentação de serviços em nuvem e plataformas de pagamento. A principal função do FBot é sequestrar a nuvem, SaaS, e serviços web, com foco secundário na obtenção de acessos para novos ataques. Entre suas características mais notáveis estão capacidades de coleta de credenciais, essencial para o acesso inicial e potencialmente lucrativo através da venda a outros cibercriminosos. O FBot compartilha alguns pontos em comum com ladrões típicos, particularmente em suas funcionalidades relacionadas à coleta de credenciais e sequestro de contas.
Distinto de outras famílias de malware infostealer, O FBot não se baseia no código Androxgh0st comumente usado. Em vez de, ele traça seu caminho único, compartilhando semelhanças funcionais e de design com o infostealer em nuvem Legion. A sua pegada menor sugere desenvolvimento privado e uma estratégia de distribuição direcionada. Ele complementa com seus amplos recursos, incluindo ferramentas para sequestrar contas e credenciais da AWS colheita para ataques de spam. Adicionalmente, possui funções especializadas para direcionar o PayPal e várias contas SaaS.
Segmentação AWS
Existem três funções no FBot projetadas especificamente para atacar contas AWS.
Vejamos cada um de yb] em mais detalhes:
- Gerador de chaves de API da AWS
Esta função do FBot cria chaves artificiais de acesso à API da AWS. Pense nisso como tentar duplicar chaves para uma fechadura, mas sem ter o original. Ele gera essas chaves aleatoriamente na esperança de adivinhar a combinação correta que dará acesso a uma conta AWS. Uma vez bem sucedido, isto permite que usuários não autorizados acessem os serviços sem as manipulações visíveis aos administradores. - Verificador em massa da AWS
Esta parte do FBot inspeciona as propriedades da conta AWS, permissões e serviços. Em particular, analisa as configurações de e-mail do AWS Simple Email Service, focando nos recursos de envio de e-mail. Além disso, dá um passo adiante ao tentar configurar um novo usuário na conta da AWS com acesso administrativo. Essa funcionalidade pode ainda ser útil para realizando campanhas massivas de spam por e-mail. - Verificador AWS EC2
Mais uma função verifica as permissões e recursos do serviço AWS EC2 da conta comprometida. O FBot verifica quais recursos a conta tem disponíveis, o que pode ser útil para alguém que planeja utilizar esses recursos sem autorização. O uso posterior pode ser diferente, como poder de cálculo sobressalente tem aplicações extremamente versáteis.
Explorando serviços de pagamento e plataformas SaaS
A segmentação do FBot para SaaS e serviços de pagamento é multifacetada. Inclui um recurso para validação de conta PayPal, denominado “paypal_validator,” que verifica se um e-mail é linked to a PayPal account. Isso é executado enviando uma solicitação para um URL codificado, utilizando exclusivamente o site de um designer de moda lituano para autenticação. Isso pode permitir o sequestro de transações ou atividades maliciosas semelhantes.
Adicionalmente, FBot tem como alvo diversas plataformas SaaS, incluindo Sendgrid e Twilio. Para SendGrid, possui um recurso para gerar chaves de API, enquanto para Twilio, recebe entrada na forma de SID e Auth Token. Da mesma forma que AWS SES, contas Sendgrid sequestradas podem ainda ser usadas em golpes de e-mail de representação. Enquanto isso, despejando dados do Twilio SID/Auth Token, o malware fornece aos seus mestres muitas informações sobre a conta – moeda, equilíbrio, números de telefone conectados, etc..
Vulnerabilidades da estrutura da Web
As capacidades do FBot em direcionar frameworks web estão particularmente focadas na exploração de vulnerabilidades em vários ambientes. Possui um recurso para validar se URLs hospedam um arquivo de ambiente Laravel e extraindo credenciais desses arquivos. Esta funcionalidade permite que o FBot acesse potencialmente informações de configuração confidenciais. Adicionalmente, inclui um scanner de configuração oculto, que envia solicitações HTTP GET para vários PHP, Laravel, e URIs relacionados à AWS, procurando por valores de configuração armazenados. Este scanner analisa respostas em busca de chaves e segredos relacionados a uma variedade de serviços, tornando-se uma ferramenta poderosa para extracting valuable data de estruturas web comprometidas.
Medidas protetoras
Para combater as ameaças do FBot, é crucial compreender seus indicadores de comprometimento. Isso inclui hashes SHA1 específicos e nomes de usuário e senhas AWS IAM codificados usados pelo FBot. A luta contra o FBot não envolve apenas detecção; trata-se também de defesa proativa.
- Empregar soluções antivírus abrangentes que são atualizados regularmente. O software antivírus moderno está equipado com recursos avançados de detecção para identificar e neutralizar malware como o FBot. Essas ferramentas geralmente incluem monitoramento em tempo real, análise heurística, e detecção baseada em comportamento, que pode ser particularmente eficaz contra ameaças novas e em evolução.
- O FBot pode usar táticas de spam ou explorar vulnerabilidades de rede para obter entrada. Para proteção contra spam, um firewall robusto age como um porteiro vigilante, monitorar e controlar o tráfego de rede de entrada e saída com base em regras de segurança predeterminadas. Configurando regras de firewall apropriadas, você pode bloquear com eficácia o tráfego malicioso e as tentativas de acesso não autorizado, reduzindo o risco de o FBot se infiltrar na sua rede.
- As organizações são aconselhadas a ativar a autenticação multifator (AMF) para serviços da AWS e configurar alertas para atividades incomuns, como a criação de novas contas de usuário ou alterações significativas nas configurações de SaaS.
