В мире, где облако стало преобладающей частью деловой и личной жизни, появился новый штамм вредоносного ПО под названием FBot, угрожающий безопасности различных облачных платформ и платформ программного обеспечения как услуги (SaaS). Новый штамм, о котором сообщает SentinelLabs, активно нацелен на известные платформы, включая Microsoft Office 365, Amazon Web Services (AWS), PayPal, Twilio и другие.
Разработанный на Python, FBot представляет собой интригующий пример эволюции вредоносного ПО, имеющий сходство с облачным вредоносным ПО Legion, похищающим информацию. Он демонстрирует ряд инструментов, предназначенных для взлома учетных записей AWS и сбора учетных данных. Среди этих инструментов — сканер портов, генератор IP-адресов, генератор ключей AWS API, AWS EC2 Checker и Mass AWS Checker. FBot не ограничивается этими возможностями и представляет собой многогранную угрозу цифровому ландшафту.
FBot также содержит утилиты для проверки электронной почты и специальные инструменты для таких платформ, как Twilio и Sendgrid. Этот обширный набор инструментов расширяет возможности взлома WordPress и других систем управления контентом, а также приложений Laravel. Вредоносное ПО доступно в виде исполняемого файла Windows, что еще больше расширяет его потенциальный охват.
По данным SentinelLabs, образцы FBot наблюдались с июля 2022 года по январь 2024 года, что указывает на его продолжающееся распространение. Вредоносная программа занимает меньшую площадь, чем аналогичные инструменты, что предполагает возможность частной разработки и более целенаправленного подхода к распространению. Примечательно, что FBot не использует широко используемый код Androxgh0st, но имеет сходство по функциональности и дизайну с облачным информатором Legion.
С появлением FBot угроза облачным сервисам еще больше возрастает. SentinelLabs рекомендует организациям в ответ усилить меры безопасности в облаке и платежах. Внедрение многофакторной аутентификации и настройка оповещений для новых учетных записей пользователей AWS, новых удостоверений и значительных изменений в приложениях массовой рассылки SaaS входят в число предлагаемых мер по обнаружению подозрительных действий. Появление FBot служит ярким напоминанием о постоянной угрозе вредоносного ПО для облачных сервисов и острой необходимости в надежных методах обеспечения безопасности.
