Ключевой функциональностью FBot является возможность собирать учётные данные для последующего проведения спамерских атак, пишет Anti-malware.ru. Помимо этого, инструмент позволяет проводить атаки против аккаунтов PayPal и SaaS. FBot похож на другие тулкиты: AlienFox (тоже ворует учетки AWS, Google, Microsoft 365 для рассылки спама), GreenBot, Legion и Predator. Его задача – взломать облачные сервисы и утащить учётные данные. После этого все логины и пароли продаются другим киберпреступникам.
Дополнительно FBot способен генерировать ключи API для AWS и Sendgrid, случайные IP-адреса, а также запускать сканеры IP и даже проверять актуальность PayPal-аккаунтов с помощью адресов электронной почты. У новинки есть и специальные функции, заточенные под AWS: вредонос может проверять конфигурацию AWS Simple Email Service (SES). Интересно, что FBot также способен извлекать креды из файлов окружения Laravel.
«Различные тулкиты для взлома появляются регулярно, какие-то становятся популярными и получают обновления в течение многих лет, а какие-то не находят поддержки у хакерского сообщества и растворяются на просторах интернета. Однако, важно понимать, что сами по себе инструменты ничего взломать не могут. Атаку проводят люди, которые используют тот или иной инструментарий для автоматизации определенных задач. При этом, если уязвимости нет, то никакой волшебный инструмент ее не создаст, а вот отслеживать существующие уязвимости помогают программные комплексы непрерывного мониторинга, например, такие как Efros CI», – говорит руководитель группы защиты инфраструктурных ИТ-решений компании «Газинформсервис» Сергей Полунин.