Remitente de SNS abusa de AWS para realizar ataques de smishing masivos

Un script malicioso de Python conocido como SNS Sender se anuncia como una forma para que los actores de amenazas envíen mensajes de smishing masivos abusando de Amazon Web Services (AWS) Simple Notification Service (SNS).

Los mensajes de phishing por SMS están diseñados para propagar enlaces maliciosos que están diseñados para capturar la información de identificación personal (PII) y los detalles de las tarjetas de pago de las víctimas, dijo SentinelOne en un nuevo informe, atribuyéndolo a un actor de amenazas llamado ARDUINO_DAS.

"Las estafas de smishing a menudo toman la apariencia de un mensaje del Servicio Postal de los Estados Unidos (USPS) con respecto a la entrega de un paquete perdido", dijo el investigador de seguridad Alex Delamotte.

SNS Sender es también la primera herramienta observada en la naturaleza que aprovecha AWS SNS para realizar ataques de spam por SMS. SentinelOne dijo que identificó vínculos entre ARDUINO_DAS y más de 150 kits de phishing puestos a la venta.

El malware requiere una lista de enlaces de phishing almacenados en un archivo llamado links.txt en su directorio de trabajo, además de una lista de claves de acceso de AWS, los números de teléfono a los que dirigirse, el ID del remitente (también conocido como nombre para mostrar) y el contenido del mensaje.

La inclusión obligatoria de la identificación del remitente para enviar los mensajes de texto fraudulentos es digna de mención porque la compatibilidad con las identificaciones del remitente varía de un país a otro. Esto sugiere que es probable que el autor de SNS Sender sea de un país donde el ID de remitente es una práctica convencional.

"Por ejemplo, los operadores en los Estados Unidos no admiten ID de remitente en absoluto, pero los operadores en India requieren que los remitentes usen ID de remitente", dice Amazon en su documentación.

Hay pruebas que sugieren que esta operación puede haber estado activa desde al menos julio de 2022, a juzgar por los registros bancarios que contienen referencias a ARDUINO_DAS que se han compartido en foros de tarjetas como Crax Pro.

La gran mayoría de los kits de phishing tienen una temática de USPS, y las campañas dirigen a los usuarios a páginas falsas de seguimiento de paquetes que solicitan a los usuarios que introduzcan su información personal y de su tarjeta de crédito/débito, como demuestra el investigador de seguridad @JCyberSec_ en X (antes Twitter) a principios de septiembre de 2022.

"¿Crees que el actor que los implementa sabe que todos los kits tienen una puerta trasera oculta que envía los registros a otro lugar?", señaló además el investigador.

En todo caso, el desarrollo representa los intentos continuos de los actores de amenazas de productos básicos de explotar los entornos en la nube para campañas de smishing. En abril de 2023, Permiso reveló un clúster de actividad que aprovechó las claves de acceso de AWS previamente expuestas para infiltrarse en los servidores de AWS y enviar mensajes SMS mediante SNS.

Los hallazgos también siguen al descubrimiento de un nuevo cuentagotas con nombre en código TicTacToe que probablemente se venda como un servicio a los actores de amenazas y se ha observado que se utiliza para propagar una amplia variedad de ladrones de información y troyanos de acceso remoto (RAT) dirigidos a usuarios de Windows a lo largo de 2023.

Fortinet FortiGuard Labs, que arrojó luz sobre el malware, dijo que se despliega por medio de una cadena de infección de cuatro etapas que comienza con un archivo ISO incrustado en los mensajes de correo electrónico.

Otro ejemplo relevante de actores de amenazas que innovan continuamente sus tácticas se refiere al uso de redes publicitarias para organizar campañas de spam efectivas y desplegar malware como DarkGate.

"El actor de amenazas hizo proxy de enlaces a través de una red publicitaria para evadir la detección y capturar análisis sobre sus víctimas", dijo HP Wolf Security. "Las campañas se iniciaron a través de archivos adjuntos PDF maliciosos que se hacían pasar por mensajes de error de OneDrive, lo que condujo al malware".

La división de seguridad de la información del fabricante de PC también destacó el uso indebido de plataformas legítimas como Discord para organizar y distribuir malware, una tendencia que se ha vuelto cada vez más común en los últimos años, lo que llevó a la compañía a cambiar a enlaces de archivos temporales a fines del año pasado.

"Discord es conocido por su infraestructura robusta y confiable, y es ampliamente confiable", dijo Intel 471. "Las organizaciones a menudo permiten incluir a Discord en la lista, lo que significa que los enlaces y las conexiones a él no están restringidos. Esto hace que su popularidad entre los actores de amenazas no sea sorprendente dada su reputación y uso generalizado".

Fuente: No tienes permitido ver los links. Registrarse o Entrar a mi cuenta