O Amazon Simple Email Service (SES) vem sendo cada vez mais abusado para o envio de phishing convincentes, capazes de contornar filtros de segurança padrão e tornar ineficazes bloqueios baseados em reputação.
Embora esse serviço já tenha sido usado em atividades maliciosas no passado, o pico atual pode estar ligado à exposição de um grande número de chaves de acesso do AWS Identity and Access Management em ativos públicos.
Por se tratar de um recurso legítimo e confiável, operações de phishing conseguem explorar o Amazon SES para disparar e-mails maliciosos que passam nas verificações de autenticação.
Pesquisadores da Kaspersky informaram em relatório divulgado hoje que “observaram um aumento em ataques de phishing que exploram o Amazon SES” para entregar links que redirecionam para um site malicioso.
Segundo os pesquisadores, o principal motor desse abuso é a exposição crescente de credenciais do AWS em repositórios do GitHub, arquivos .ENV, imagens do Docker, backups e buckets do S3 acessíveis publicamente.
A descoberta das chaves de acesso costuma ser feita de forma automatizada, com bots baseados na ferramenta open source TruffleHog, desenvolvida para identificar segredos vazados.
Threat actors agora recorrem a ataques automatizados que simplificam a varredura de segredos, a validação de permissões e a distribuição de e-mails, permitindo níveis inéditos de abuso.
“Depois de verificar as permissões da chave e os limites de envio de e-mails, os invasores estão aptos a espalhar um volume massivo de mensagens de phishing”, explicou a Kaspersky.
Com base nas descobertas, os pesquisadores afirmam que a qualidade do phishing é alta, com modelos HTML personalizados que imitam serviços reais e fluxos de login realistas.
Entre os ataques observados estão notificações falsas de assinatura de documentos, que imitam a DocuSign para levar vítimas a páginas de phishing hospedadas no AWS, além de campanhas mais sofisticadas de comprometimento de e-mail corporativo, ou BEC.
Os invasores falsificam conversas inteiras por e-mail para tornar as mensagens de phishing mais convincentes e enviam faturas falsas para induzir equipes financeiras a realizar pagamentos.
Ao explorar o Amazon SES, os atacantes deixam de se preocupar com verificações de autenticação como os protocolos SPF, DKIM e DMARC.
Além disso, bloquear os endereços IP ofensores que entregam os e-mails de phishing não é uma solução aceitável, porque isso impediria todos os e-mails que passam pelo Amazon SES.
A Kaspersky recomenda que as empresas restrinjam as permissões do IAM com base no princípio do menor privilégio, habilitem MFA, façam a rotação regular de chaves e apliquem restrições de acesso com base em IP e controles de criptografia.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...