В Сети начал распространяться новый тулкит (пакет инструментов, для активации и управления лицензиями ПО), написанный на языке Python, который хакеры используют для атак на веб-серверы, SaaS-сервисы, предоставляющие ПО как услугу, и облачные платформы.
Специалист по кибербезопасности компании SentinelOne Алекс Деламотт первым описал тулкит FBot, о котором идёт речь. Он предупредил, что главное назначение FBot — сбор информации из учётных записей для дальнейших спамерских атак, также тулкит может атаковать аккаунты PayPal. После этого все данные продаются другим хакерам.
В этом FBot похож на другие подобные инструменты: AlienFox, GreenBot, Legion и Predator. Его отличие — в функции генерирования ключей API для AWS и Sendgrid, случайных IP-адресов, запуска сканеров IP, а также проверки актуальности PayPal-аккаунтов с помощью адресов электронной почты.
«Скрипт создаёт API-запрос к PayPal с помощью сайта hxxps://www.robertkalinkin.com/index.php, который представляет собой ретейл-ресурс литовского модельера. Интересно, что FBot выбрал именно этот сайт для аутентификации API-запросов к Paypal. Кстати, некоторые образцы Legion делали то же самое», — отметили исследователи безопасности.
