Ataques phishing e spam por SMS
19 de Agosto de 2024

Atores maliciosos estão utilizando uma ferramenta de ataque em nuvem chamada Xeon Sender para conduzir campanhas de phishing e spam por SMS em grande escala, abusando de serviços legítimos.

"Os atacantes podem usar o Xeon para enviar mensagens por meio de múltiplos provedores de software como serviço (SaaS) utilizando credenciais válidas para os provedores de serviço", disse o pesquisador de segurança da SentinelOne, Alex Delamotte, em um relatório.

Exemplos dos serviços usados para facilitar a distribuição em massa de mensagens SMS incluem Amazon Simple Notification Service (SNS), Nexmo, Plivo, Proovl, Send99, Telesign, Telnyx, TextBelt, Twilio.

É importante notar aqui que a atividade não explora quaisquer fraquezas inerentes a esses provedores.

Em vez disso, a ferramenta usa APIs legítimas para conduzir ataques de spam por SMS em massa.

Ela se junta a ferramentas como o SNS Sender que têm se tornado cada vez mais uma maneira de enviar mensagens de smishing em massa e, em última instância, capturar informações sensíveis dos alvos.

Distribuída via Telegram e fóruns de hacking, com uma das versões mais antigas creditando um canal do Telegram dedicado a anunciar hacktools crackeados.

A versão mais recente, disponível para download como um arquivo ZIP, atribui-se a um canal do Telegram chamado Orion Toolxhub (oriontoolxhub) que tem 200 membros.

Orion Toolxhub foi criado em 1º de fevereiro de 2023.

Ele também disponibilizou livremente outros softwares para ataques de força bruta, buscas reversas de endereço IP e outros como um scanner de sites WordPress, um web shell PHP, um clipper de Bitcoin e um programa chamado YonixSMS que pretende oferecer capacidades ilimitadas de envio de SMS.

Xeon Sender também é referido como XeonV5 e SVG Sender.

Versões iniciais do programa baseado em Python foram detectadas já em 2022.

Desde então, foi reaproveitado por vários atores de ameaças para seus próprios propósitos.
"Outra encarnação da ferramenta está hospedada em um servidor web com uma GUI", disse Delamotte.

Este método de hospedagem remove uma barreira potencial de acesso, permitindo que atores de habilidades mais baixas, que podem não se sentir confortáveis com a execução de ferramentas Python e a solução de problemas de suas dependências.

O Xeon Sender, independentemente da variante usada, oferece aos seus usuários uma interface de linha de comando que pode ser usada para se comunicar com as APIs backend do provedor de serviço escolhido e orquestrar ataques de spam por SMS em massa.

Isso também significa que os atores de ameaças já estão em posse das chaves de API necessárias para acessar os endpoints.

As requisições de API elaboradas também incluem o ID do remetente, o conteúdo da mensagem e um dos números de telefone selecionados de uma lista predefinida presente em um arquivo de texto.

O Xeon Sender, além de seus métodos de envio de SMS, incorpora recursos para validar credenciais de contas de Nexmo e Twilio, gerar números de telefone para um dado código de país e código de área, e verificar se um número de telefone fornecido é válido.

Apesar da falta de finesse associada à ferramenta, a SentinelOne disse que o código-fonte está repleto de variáveis ambíguas como letras únicas ou uma letra mais um número para tornar a depuração muito mais desafiadora.

"O Xeon Sender usa em grande parte bibliotecas específicas do provedor em Python para elaborar requisições de API, o que apresenta desafios interessantes de detecção", disse Delamotte.

Cada biblioteca é única, assim como são os logs do provedor.

Pode ser difícil para as equipes detectar abusos de um determinado serviço.

Para se defender contra ameaças como o Xeon Sender, as organizações devem monitorar atividades relacionadas à avaliação ou modificação de permissões de envio de SMS ou mudanças anômalas em listas de distribuição, como um grande upload de novos números de telefone de destinatários.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...