Eρευνητές ασφαλείας ανακάλυψαν και ανέλυσαν το FBot, ένα νέο εργαλείο hacking που βασίζεται στην Python και στοχεύει υπηρεσίες cloud.
Συγκεκριμένα, το FBot ανακαλύφθηκε από την SentinelLabs και στοχεύει web servers, υπηρεσίες cloud και πλατφόρμες Software-as-a-Service (SaaS), όπως τα AWS, Office365, PayPal, Sendgrid και Twilio.
Το FBot επιτρέπει τη συλλογή credentials για spamming επιθέσεις, την παραβίαση λογαριασμών AWS και λειτουργίες που επιτρέπουν επιθέσεις κατά του PayPal και λογαριασμών SaaS.
Δείτε επίσης: Το Phemedrone malware εκμεταλλεύεται ευπάθεια στο Microsoft Defender SmartScreen
Ο ερευνητής της SentinelLabs, Alex Delamotte, είπε ότι το FBot είναι διαφορετικό από παρόμοια εργαλεία, υποδηλώνοντας πιθανή ιδιωτική ανάπτυξη και μια πιο στοχευμένη προσέγγιση διανομής. Για παράδειγμα, το κακόβουλο λογισμικό δεν χρησιμοποιεί τον ευρέως χρησιμοποιούμενο κώδικα Androxgh0st. Αντίθετα, μοιράζεται ομοιότητες με το Legion cloud infostealer.
Οι λειτουργίες του εργαλείου καλύπτουν τη στόχευση AWS, συμπεριλαμβανομένου ενός AWS API Key Generator και Mass AWS Checker, καθώς και τη στόχευση υπηρεσιών πληρωμών όπως το PayPal, με μια μοναδική δυνατότητα που ονομάζεται PayPal Validator.
Επίσης, όπως είπαμε παραπάνω, το FBot στοχεύει πλατφόρμες SaaS όπως το Sendgrid και το Twilio, παρουσιάζοντας χαρακτηριστικά όπως το Sendgrid API Key Generator, το Twilio SID και το Auth Token checker. Το εργαλείο περιλαμβάνει επίσης λειτουργίες για framework reconnaissance, σάρωση για περιβάλλοντα Laravel και εξαγωγή credentials από διάφορα αρχεία.
Σύμφωνα με τη SentinelLabs, τα δείγματα FBot έχουν παρατηρηθεί από τον Ιούλιο του 2022 έως τον Ιανουάριο του 2024. Αυτό δείχνει ότι η διάδοσή του συνεχίζεται μέχρι και σήμερα αν και δεν είμαστε βέβαιοι αν είναι στον ίδιο βαθμό.
Δείτε επίσης: Το Balada Injector Malware έχει μολύνει 6,700 WordPress sites
Προς το παρόν, δεν έχει εντοπιστεί ένα συγκεκριμένο κανάλι διανομής για το FBot malware. Αντίθετα, άλλα cloud infostealers συνήθως πωλούνται σε πλατφόρμες όπως το Telegram.
Πώς να προστατεύσουν οι εταιρείες τις υπηρεσίες cloud από επιθέσεις malware;
“Οι οργανισμοί θα πρέπει να εφαρμόζουν τον έλεγχο ταυτότητας πολλαπλών παραγόντων (MFA) για υπηρεσίες AWS με programmatic access“, προειδοποίησε ο Delamotte.
“Δημιουργήστε ειδοποιήσεις που ειδοποιούν τις ομάδες ασφαλείας όταν προστίθεται νέος λογαριασμός χρήστη AWS στον οργανισμό, καθώς και ειδοποιήσεις για νέες ταυτότητες που προστέθηκαν ή σημαντικές αλλαγές διαμόρφωσης σε εφαρμογές αλληλογραφίας SaaS“.
Επιπλέον, οι εταιρείες μπορούν να προστατεύσουν τις υπηρεσίες cloud τους από επιθέσεις malware μέσω της εφαρμογής ενός συνεπούς προγράμματος ασφάλειας. Αυτό μπορεί να περιλαμβάνει την εγκατάσταση λογισμικού ανίχνευσης malware, την ενημέρωση των συστημάτων ασφαλείας και την ασφαλή διατήρηση των πληροφοριών.
Δείτε επίσης: Atomic Stealer: Νέα έκδοση του malware στοχεύει macOS
Επίσης, οι εταιρείες πρέπει να εκπαιδεύσουν το προσωπικό τους σχετικά με την ασφάλεια των υπηρεσιών cloud. Αυτό μπορεί να περιλαμβάνει την εκμάθηση των τελευταίων τάσεων στις επιθέσεις malware, την εκμάθηση των τρόπων αναγνώρισης και αποφυγής των επιθέσεων phishing και την κατανόηση της σημασίας της διατήρησης των κωδικών πρόσβασης ασφαλών.
Τέλος, οι εταιρείες μπορούν να υιοθετήσουν πρακτικές όπως η πολιτική ελάχιστων δικαιωμάτων, όπου οι χρήστες έχουν μόνο τα δικαιώματα που απαιτούνται για την εκτέλεση των καθηκόντων τους. Αυτό μειώνει την πιθανότητα πρόσβασης ενός κακόβουλου λογισμικού σε ευαίσθητες πληροφορίες. Επιπλέον, η χρήση εργαλείων παρακολούθησης δικτύου μπορεί να βοηθήσει στην ανίχνευση ασυνήθιστης δραστηριότητας που μπορεί να υποδεικνύει μια επίθεση malware.
Πηγή: www.infosecurity-magazine.com
