Un script de Python malicioso conocido como SNS Sender se anuncia como una forma para que los actores de amenazas envíen mensajes masivos de smishing abusando del Servicio de notificación simple ( SNS ) de Amazon Web Services (AWS ).
Los mensajes SMS de phishing están diseñados para propagar enlaces maliciosos que están diseñados para capturar la información de identificación personal (PII) de las víctimas y los detalles de la tarjeta de pago, dijo SentinelOne en un nuevo informe, atribuyéndolo a un actor de amenazas llamado ARDUINO_DAS.
«Las estafas de smishing a menudo adoptan la apariencia de un mensaje del Servicio Postal de los Estados Unidos (USPS) sobre la entrega de un paquete perdido», dijo el investigador de seguridad Alex Delamotte.
SNS Sender es también la primera herramienta observada en el mercado que aprovecha AWS SNS para realizar ataques de spam por SMS. SentinelOne dijo que identificó vínculos entre ARDUINO_DAS y más de 150 kits de phishing puestos a la venta.
El malware requiere una lista de enlaces de phishing almacenados en un archivo llamado links.txt en su directorio de trabajo, además de una lista de claves de acceso de AWS, los números de teléfono a los que apunta, el ID del remitente (también conocido como nombre para mostrar) y el contenido de el mensaje.
La inclusión obligatoria del ID del remitente para enviar mensajes de texto fraudulentos es digna de mención porque la compatibilidad con los ID del remitente varía de un país a otro. Esto sugiere que el autor de SNS Sender probablemente provenga de un país donde la identificación del remitente es una práctica convencional.
«Por ejemplo, los operadores de Estados Unidos no admiten ningún ID de remitente, pero los operadores de la India exigen que los remitentes utilicen ID de remitente», dice Amazon en su documentación.
Hay evidencia que sugiere que esta operación puede haber estado activa desde al menos julio de 2022, según los registros bancarios que contienen referencias a ARDUINO_DAS que se han compartido en foros de tarjetas como Crax Pro .
Una gran mayoría de los kits de phishing tienen como tema el USPS, y las campañas dirigen a los usuarios a páginas falsas de seguimiento de paquetes que solicitan a los usuarios que introduzcan su información personal y de tarjeta de crédito/débito, como lo demuestra el investigador de seguridad @JCyberSec_ en X (anteriormente Twitter) en principios de septiembre de 2022.
«¿Crees que el actor que los implementa sabe que todos los kits tienen una puerta trasera oculta que envía los registros a otro lugar?», señaló además el investigador .
En todo caso, el desarrollo representa los intentos continuos de los actores de amenazas a los productos básicos de explotar los entornos de nube para campañas de smishing. En abril de 2023, Permiso reveló un grupo de actividades que aprovechaba las claves de acceso de AWS previamente expuestas para infiltrarse en los servidores de AWS y enviar mensajes SMS mediante SNS.
Los hallazgos también siguen al descubrimiento de un nuevo dropper con nombre en código TicTacToe que probablemente se vende como un servicio a actores de amenazas y se ha observado que se utiliza para propagar una amplia variedad de ladrones de información y troyanos de acceso remoto (RAT) dirigidos a usuarios de Windows a lo largo de 2023.
Fortinet FortiGuard Labs, que arrojó luz sobre el malware , dijo que se implementa mediante una cadena de infección de cuatro etapas que comienza con un archivo ISO incrustado en los mensajes de correo electrónico.
Otro ejemplo relevante de actores de amenazas que innovan continuamente en sus tácticas tiene que ver con el uso de redes publicitarias para organizar campañas efectivas de spam y desplegar malware como DarkGate.
«El actor de amenazas envió enlaces a través de una red publicitaria para evadir la detección y capturar análisis sobre sus víctimas», dijo HP Wolf Security . «Las campañas se iniciaron a través de archivos adjuntos PDF maliciosos que se hacían pasar por mensajes de error de OneDrive, lo que conducía al malware».
La división de seguridad de la información del fabricante de PC también destacó el uso indebido de plataformas legítimas como Discord para organizar y distribuir malware, una tendencia que se ha vuelto cada vez más común en los últimos años , lo que llevó a la compañía a cambiar a enlaces de archivos temporales a finales del año pasado.
«Discord es conocido por su infraestructura robusta y confiable, y goza de gran confianza», dijo Intel 471 . «Las organizaciones a menudo incluyen Discord en la lista blanca, lo que significa que los enlaces y conexiones a él no están restringidos. Esto hace que su popularidad entre los actores de amenazas no sea sorprendente dada su reputación y su uso generalizado».
Fuente y redacción: thehackernews.com
