Os caçadores de malware da SentinelOne alertam que uma ferramenta de hacking baseada em linguagem Python recém-descoberta que está sendo usada por cibercriminosos para sequestrar plataformas em nuvem e serviços de pagamento. A ferramenta, chamada FBot, é capaz, segundo eles, de coletar credenciais para ataques de spam, sequestro de contas AWS e funções para permitir ataques contra o PayPal e várias contas de plataformas SaaS (software como serviço).
De acordo com a documentação da unidade de pesquisa da fornecedora de soluções de segurança cibernética, o Fbot é caracterizado por uma área menor em comparação com ferramentas semelhantes, indicando um possível desenvolvimento privado e uma abordagem de distribuição mais direcionada.
O pesquisador do SentinelLabs, Alex Delamotte, dissecou os componentes internos da ferramenta de ataque e encontrou recursos para atingir servidores web e serviços em nuvem, bem como tecnologias de software como serviço que incluem AWS Office365, PayPal, Sendgrid e Twilio.
Embora a ferramenta seja projetada principalmente para que hackers sequestrem serviços em nuvem, SaaS e web, Delamotte descobriu um foco secundário na obtenção de contas para conduzir ataques de spam. “A ferramenta contém diversos utilitários, incluindo um gerador de endereço IP e scanner de porta. Há também uma função de validação de e-mail, que usa um provedor de serviços de tecnologia indonésio para validar endereços de e-mail”, disse o pesquisador do SentinelLabs.
Veja isso
Infostealer Predator AI traz risco grave para serviços de nuvem
Maioria dos CISOs ignora riscos de migração para nuvem
A empresa também descobriu vários recursos direcionados a serviços de pagamento, incluindo um recurso PayPal Validator, um gerador de chaves API SendGrid e recursos para coletar segredos importantes.
Delamotte recomenda que as organizações habilitem a autenticação multifator (MFA) para serviços da AWS com acesso programático e configurem sistemas para alertar as equipes de operações de segurança quando uma nova conta de usuário da AWS for adicionada à organização. Ele também sugere a configuração de alertas para novas identidades adicionadas ou grandes alterações de configuração em aplicativos de mala direta SaaS.
Para ter acesso ao relatório do SentinelLabs, escrito por Alex Delamotte, em inglês, clique aqui.