FBot : Comment ce nouveau malware cible les services cloud et de paiement
Un nouveau rapport publié par SentinelLabs, le service de recherche de l’entreprise de cybersécurité cotée en bourse SentinelOne Inc., met en garde contre un nouveau malware sophistiqué écrit en Python ciblant les services cloud et de paiement. Ce malware, baptisé « FBot », représente une menace significative en raison de son ciblage spécifique de serveurs web, de services cloud et de plateformes logicielles en tant que service.
Cibles de FBot
FBot cible notamment Amazon Web Services Inc., Microsoft Corp.'s Office365, PayPal Holdings Inc., Sendgrid Inc. et Twilio Inc. Ces plateformes sont largement utilisées pour divers services en ligne, ce qui rend FBot particulièrement préoccupant pour les entreprises et les particuliers qui dépendent de ces services.
Caractéristiques de FBot
Contrairement à d’autres formes de malware cloud, FBot n’est pas dérivé du code communément utilisé Androxgh0st, mais partage plutôt des similarités avec le voleur d’informations Legion cloud. Cela suggère une lignée différente dans le développement de malware. Ses fonctions principales incluent la récolte de identifiants et de mots de passe, des outils de piratage de comptes AWS et des capacités à attaquer les comptes PayPal et divers comptes SaaS.
FBot se distingue par une empreinte plus petite que des outils similaires, indiquant un développement privé et une stratégie de distribution plus ciblée. Cela signifie que FBot peut être plus difficile à détecter et à contrer que d’autres formes de malware.
Outils de FBot
FBot présente une gamme d’outils, dont un générateur d’adresses IP, un analyseur de ports, un validateur de courriels, un générateur de clés d’API AWS, un vérificateur massif de comptes AWS, un vérificateur de machines EC2 AWS et des outils ciblant spécifiquement Sendgrid et Twilio. FBot est également capable de cibler des systèmes de gestion de contenu populaires comme WordPress.
Il possède également des fonctionnalités pour valider si des URL hébergent un fichier de configuration d’environnement Laravel. Ce fichier de configuration est utilisé dans les applications Laravel pour stocker des variables spécifiques à l’environnement telles que les identifiants de base de données, les clés d’API et autre informations sensibles. Fonctionnant via des fichiers de configuration ou des en-têtes, FBot est aussi disponible en versions compilées en exécutable Windows.
Recommandations de SentinelLabs
Les chercheurs de SentinelLabs estiment que la nature privée du développement de FBot le distingue d’autres outils de malware largement distribués. Le rapport met en garde contre l’impact potentiel de FBot sur la sécurité cloud et des paiements et appelle les organisations à redoubler de vigilance.
Il est conseillé aux organisations d’activer l’authentification multifacteur pour leurs comptes AWS s’ils ne l’ont pas déjà fait et de configurer des alertes pour détecter les activités inhabituelles dans leurs services cloud afin d’atténuer le risque posé par cette menace émergente.
« Créez des alertes qui notifient les équipes de sécurité lorsqu’un nouveau compte utilisateur AWS est ajouté à l’organisation, ainsi que des alertes pour de nouvelles identités ajoutées ou des changements majeurs de configuration dans les applications de marketing par courriel de masse SaaS, lorsque possible », concluent les chercheurs.
En conclusion
FBot est une nouvelle menace sérieuse pour les services cloud et de paiement. Sa nature privée et sa stratégie de distribution ciblée le rendent particulièrement préoccupant. Les organisations doivent prendre des mesures pour se protéger contre cette menace émergente.
Image/illustration : crée par ©Foutastik pour ©LaboTechNews.- Source : SiliconAngle