Xeon Sender: ataques de phishing por SMS a gran escala

Iniciado por AXCESS, Agosto 20, 2024, 06:20:07 PM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 20, 2024, 06:20:07 PM Ultima modificación: Agosto 20, 2024, 06:21:51 PM por AXCESS
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Actores maliciosos están utilizando una herramienta de ataque en la nube llamada Xeon Sender para realizar campañas de phishing y spam por SMS a gran escala abusando de servicios legítimos.

"Los atacantes pueden utilizar Xeon para enviar mensajes a través de múltiples proveedores de software como servicio (SaaS) utilizando credenciales válidas para los proveedores de servicios", dijo el investigador de seguridad de SentinelOne, Alex Delamotte, en un informe compartido con The Hacker News.

Algunos ejemplos de los servicios utilizados para facilitar la distribución masiva de mensajes SMS incluyen Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt y Twilio.

Es importante señalar aquí que la actividad no explota ninguna debilidad inherente en estos proveedores. En cambio, la herramienta utiliza API legítimas para realizar ataques masivos de spam por SMS.

Se suma a herramientas como SNS Sender, que se han convertido cada vez más en una forma de enviar mensajes masivos de smishing y, en última instancia, capturar información confidencial de los objetivos.

Se distribuye a través de Telegram y foros de piratería. La versión más reciente, disponible para descargar como archivo ZIP, se atribuye a un canal de Telegram llamado Orion Toolxhub (oriontoolxhub) que tiene 200 miembros.

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

No tienes permitido ver enlaces. Registrate o Entra a tu cuenta

Orion Toolxhub se creó el 1 de febrero de 2023. También ha puesto a disposición de forma gratuita otro software para ataques de fuerza bruta, búsquedas inversas de direcciones IP y otros, como un escáner de sitios de WordPress, un shell web PHP, un recortador de Bitcoin y un programa llamado YonixSMS que pretende ofrecer capacidades ilimitadas de envío de SMS.

Xeon Sender también se conoce como XeonV5 y SVG Sender. Las primeras versiones del programa basado en Python se detectaron en 2022. Desde entonces, varios actores de amenazas lo han reutilizado para sus propios fines.

"Otra encarnación de la herramienta está alojada en un servidor web con una interfaz gráfica de usuario", dijo Delamotte. "Este método de alojamiento elimina una posible barrera de acceso, lo que permite a los actores menos capacitados que pueden no sentirse cómodos con la ejecución de herramientas Python y la resolución de problemas de sus dependencias".

Xeon Sender, independientemente de la variante utilizada, ofrece a sus usuarios una interfaz de línea de comandos que se puede utilizar para comunicarse con las API de backend del proveedor de servicios elegido y orquestar ataques masivos de spam SMS.

Esto también significa que los actores de amenazas ya están en posesión de las claves API necesarias para acceder a los puntos finales. Las solicitudes API diseñadas también incluyen el ID del remitente, el contenido del mensaje y uno de los números de teléfono seleccionados de una lista predefinida presente en un archivo de texto.

Xeon Sender, además de sus métodos de envío de SMS, incorpora funciones para validar las credenciales de las cuentas de Nexmo y Twilio, generar números de teléfono para un código de país y de área determinados y comprobar si un número de teléfono proporcionado es válido.

A pesar de la falta de delicadeza asociada con la herramienta, SentinelOne dijo que el código fuente está repleto de variables ambiguas como letras individuales o una letra más un número para hacer que la depuración sea mucho más complicada.

"Xeon Sender utiliza en gran medida bibliotecas de Python específicas del proveedor para crear solicitudes de API, lo que presenta desafíos de detección interesantes", dijo Delamotte. "Cada biblioteca es única, al igual que los registros del proveedor. Puede ser difícil para los equipos detectar el abuso de un servicio determinado".

"Para defenderse de amenazas como Xeon Sender, las organizaciones deben monitorear la actividad relacionada con la evaluación o modificación de los permisos de envío de SMS o cambios anómalos en las listas de distribución, como una gran carga de nuevos números de teléfono de destinatarios".

Fuente:
The Hacker News
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
No tienes permitido ver enlaces. Registrate o Entra a tu cuenta
Imprimir
Ir Arriba Páginas1
Acciones del Usuario