Olarak bilinen kötü amaçlı bir Python betiği SNS Göndereni Tehdit aktörlerinin Amazon Web Services (AWS) Basit Bildirim Hizmetini kötüye kullanarak toplu smishing mesajları göndermesinin bir yolu olarak tanıtılıyor (SNS).
SMS kimlik avı mesajları, kurbanların kişisel olarak tanımlanabilir bilgilerini (PII) ve ödeme kartı ayrıntılarını ele geçirmek için tasarlanmış kötü amaçlı bağlantıları yaymak üzere tasarlanmıştır. SentinelOne söz konusu yeni bir raporda bu durumun ARDUINO_DAS adlı bir tehdit aktörüne atfedildiği belirtiliyor.
Güvenlik araştırmacısı Alex Delamotte, “Dolandırıcılık dolandırıcılıkları genellikle Amerika Birleşik Devletleri Posta Servisi’nden (USPS) kaçırılan paket teslimatına ilişkin bir mesaj kılığına giriyor” dedi.
SNS Sender aynı zamanda SMS spam saldırıları gerçekleştirmek için AWS SNS’den yararlanan, yaygın olarak gözlemlenen ilk araçtır. SentinelOne, ARDUINO_DAS ile satışa sunulan 150’den fazla kimlik avı kiti arasında bağlantı tespit ettiğini söyledi.
Kötü amaçlı yazılım, AWS erişim anahtarları, hedeflenecek telefon numaraları, gönderen kimliği (diğer adıyla görünen ad) ve içeriğin yanı sıra, çalışma dizinindeki links.txt adlı dosyada saklanan kimlik avı bağlantılarının bir listesini gerektirir. mesaj.
Dolandırıcılık mesajlarının gönderilmesinde gönderen kimliğinin zorunlu olarak dahil edilmesi dikkat çekicidir çünkü gönderen kimliklerine yönelik destek ülkeden ülkeye farklılık göstermektedir. Bu, SNS Sender’ın yazarının muhtemelen gönderen kimliğinin geleneksel bir uygulama olduğu bir ülkeden olduğunu göstermektedir.
Amazon, “Örneğin, Amerika Birleşik Devletleri’ndeki operatörler gönderen kimliklerini hiçbir şekilde desteklemiyor, ancak Hindistan’daki operatörler gönderenlerin gönderen kimliklerini kullanmasını gerektiriyor.” diyor belgelerinde.
Tarama forumlarında paylaşılan ARDUINO_DAS referanslarını içeren banka kayıtlarına bakılarak, bu operasyonun en azından Temmuz 2022’den bu yana aktif olabileceğini gösteren kanıtlar mevcut. Crax Pro.
Kimlik avı kitlerinin büyük çoğunluğu USPS temalıdır; kampanyalar, kullanıcıları kişisel bilgilerini ve kredi/banka kartı bilgilerini girmeye yönlendiren sahte paket takip sayfalarına yönlendirmektedir; güvenlik araştırmacısı @JCyberSec_’nin X’te (eski adıyla Twitter) 2013’te kanıtladığı gibi Eylül 2022’nin başı.
Araştırmacı ayrıca, “Sizce konuşlandırmayı yapan aktör, tüm kitlerin günlükleri başka bir yere gönderen gizli bir arka kapıya sahip olduğunu biliyor mu?” kayıt edilmiş.
Bu gelişme, emtia tehdit aktörlerinin, saldırı kampanyaları için bulut ortamlarından yararlanmaya yönelik devam eden girişimlerini temsil ediyor. Nisan 2023’te Permiso açıklığa kavuşmuş AWS sunucularına sızmak ve SNS kullanarak SMS mesajları göndermek için daha önce açığa çıkan AWS erişim anahtarlarından yararlanan bir etkinlik kümesi.
Bulgular ayrıca, muhtemelen tehdit aktörlerine bir hizmet olarak satılan ve 2023 yılı boyunca Windows kullanıcılarını hedef alan çok çeşitli bilgi hırsızlarını ve uzaktan erişim truva atlarını (RAT’lar) yaymak için kullanıldığı gözlemlenen TicTacToe kod adlı yeni bir damlalığın keşfini de takip ediyor.
Fortinet FortiGuard Laboratuvarları Kötü amaçlı yazılıma ışık tutune-posta mesajlarının içine gömülü bir ISO dosyasıyla başlayan dört aşamalı bir enfeksiyon zinciri yoluyla dağıtıldığını söyledi.
Taktiklerini sürekli olarak yenileyen tehdit aktörlerinin bir diğer önemli örneği, etkili spam kampanyaları düzenlemek ve DarkGate gibi kötü amaçlı yazılımları dağıtmak için reklam ağlarının kullanılmasıyla ilgilidir.
HP Wolf Security, “Tehdit aktörü, tespit edilmekten kaçınmak ve kurbanları hakkındaki analizleri yakalamak için bir reklam ağı üzerinden bağlantıları temsil etti.” söz konusu. “Kampanyalar, OneDrive hata mesajları gibi görünen ve kötü amaçlı yazılıma yol açan kötü amaçlı PDF ekleri aracılığıyla başlatıldı.”
PC üreticisinin bilgi güvenliği kolu ayrıca, Discord gibi meşru platformların kötü amaçlı yazılım hazırlamak ve dağıtmak için kötüye kullanıldığını da vurguladı; bu, son yıllarda giderek yaygınlaşan bir trend ve şirketin geçen yılın sonuna kadar geçici dosya bağlantılarına geçmesine yol açtı.
“Discord sağlam ve güvenilir altyapısıyla tanınıyor ve geniş çapta güveniliyor.” Intel 471 söz konusu. “Kuruluşlar genellikle Discord’u izin verilenler listesine ekliyor; bu, onunla olan bağlantıların ve bağlantıların sınırlı olmadığı anlamına geliyor. Bu, itibarı ve yaygın kullanımı göz önüne alındığında, tehdit aktörleri arasındaki popülaritesinin şaşırtıcı olmamasını sağlıyor.”