O script malicioso 'SNS Sender' abusa da AWS para ataques smishing em massa
16 de Fevereiro de 2024

Um script Python malicioso conhecido como SNS Sender está sendo anunciado como uma forma para os atores de ameaças enviarem mensagens de smishing em massa, abusando do serviço de notificação simples (SNS) da Amazon Web Services (AWS).

As mensagens de phishing via SMS são projetadas para propagar links maliciosos que são projetados para capturar informações pessoais identificáveis (PII) e detalhes do cartão de pagamento das vítimas, relatou a SentinelOne em um novo relatório, atribuindo-o a um ator de ameaça chamado ARDUINO_DAS.

"Os golpes de smishing frequentemente têm a aparência de uma mensagem do serviço postal dos Estados Unidos (USPS) sobre uma entrega de pacote perdida", disse o pesquisador de segurança Alex Delamotte.

O SNS Sender também é a primeira ferramenta observada em atividade que utiliza o AWS SNS para realizar ataques de spam por SMS.

A SentinelOne disse que identificou links entre ARDUINO_DAS e mais de 150 kits de phishing oferecidos para venda.

O malware requer uma lista de links de phishing armazenada em um arquivo chamado links.txt em seu diretório de trabalho, além de uma lista de chaves de acesso AWS, os números de telefone a serem alvo, o ID do remetente (também conhecido como nome para exibição) e o conteúdo da mensagem.

A inclusão obrigatória do ID do remetente para enviar as mensagens de golpe é notável porque o suporte para IDs do remetente varia de país para país.

Isso sugere que o autor do SNS Sender provavelmente é de um país onde o ID do remetente é uma prática convencional.

"Por exemplo, as operadoras nos Estados Unidos não suportam IDs de remetentes, mas as operadoras na Índia exigem que os remetentes usem IDs de remetente", diz a Amazon em sua documentação.

Há evidências para sugerir que essa operação pode estar ativa desde pelo menos julho de 2022, considerando os registros bancários contendo referências a ARDUINO_DAS que foram compartilhados em fóruns de carding como o Crax Pro.

A grande maioria dos kits de phishing são temáticos do USPS, direcionando usuários para páginas falsas que pedem aos usuários que insiram suas informações pessoais e de cartão de crédito/débito, como evidenciado pelo pesquisador de segurança @JCyberSec_ no X (antigamente Twitter) em setembro de 2022.

"Você acha que o ator que implantou sabe que todos os kits têm uma porta dos fundos oculta enviando os registros para outro lugar?", observou ainda o pesquisador.

Se alguma coisa, o desenvolvimento representa as tentativas contínuas dos atores de ameaças comuns de explorar ambientes em nuvem para campanhas de smishing.

Em abril de 2023, o Permiso revelou uma campanha de ataque que tirou proveito de chaves de acesso AWS previamente expostas para infiltrar servidores AWS e enviar mensagens de SMS usando o SNS.

Os resultados também seguem a descoberta de um novo dropper codinome TicTacToe que provavelmente é vendido como um serviço para atores de ameaças e vem sendo observado sendo usado para propagar uma grande variedade de ladrões de informações e trojans de acesso remoto (RATs) direcionados a usuários de Windows ao longo de 2023.

Fortinet FortiGuard Labs, que trouxe luz sobre o malware, disse que ele é implantado por meio de uma cadeia de infecção em quatro estágios que começa com um arquivo ISO incorporado em mensagens de e-mail.

Outro exemplo relevante da inovação contínua de atores de ameaças em suas táticas envolve o uso de redes de publicidade para organizar campanhas eficazes de spam e implantar malwares como o DarkGate.

"O ator de ameaça passou links através de uma rede de publicidade para evitar detecção e capturar informações sobre suas vítimas", disse a HP Wolf Security.

"As campanhas foram iniciadas por meio de anexos PDF maliciosos se passando por mensagens de erro do OneDrive, levando ao malware."

O braço de segurança de info da fabricante de PCs também destacou o uso indevido de plataformas legítimas como o Discord para organizar e distribuir malware, uma tendência que vem se tornando cada vez mais comum nos últimos anos, levando a empresa a mudar para links de arquivos temporários no final do ano passado.

"O Discord é conhecido por sua infraestrutura robusta e confiável e é amplamente confiável", disse a Intel 471.

"As organizações costumam liberar o Discord, o que significa que links e conexões com ele não são restritos.

Isso torna sua popularidade entre os atores de ameaças não surpreendente, dada sua reputação e uso generalizado."

Publicidade

Pentest do Zero ao Profissional

O mais completo curso de Pentest e Hacking existente no Brasil, ministrado por instrutores de referência no mercado. Oferece embasamento sólido em computação, redes, Linux e programação. Passe por todas as fases de um Pentest utilizando ambientes realísticos. Se prepare para o mercado através da certificação SYCP. Saiba mais...