{"id":1188724,"date":"2024-02-16T21:38:23","date_gmt":"2024-02-16T21:38:23","guid":{"rendered":"https:\/\/teknomers.com\/es\/el-script-malicioso-sns-sender-abusa-de-aws-para-realizar-ataques-masivos-de-smishing\/"},"modified":"2024-02-16T21:38:27","modified_gmt":"2024-02-16T21:38:27","slug":"el-script-malicioso-sns-sender-abusa-de-aws-para-realizar-ataques-masivos-de-smishing","status":"publish","type":"post","link":"https:\/\/teknomers.com\/es\/el-script-malicioso-sns-sender-abusa-de-aws-para-realizar-ataques-masivos-de-smishing\/","title":{"rendered":"El script malicioso &#8216;SNS Sender&#8217; abusa de AWS para realizar ataques masivos de smishing"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">16 de febrero de 2024<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">Sala de redacci\u00f3n<\/span><\/span><span class=\"p-tags\">Amenaza cibern\u00e9tica \/ Seguridad en la nube<\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/El-script-malicioso-SNS-Sender-abusa-de-AWS-para-realizar.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Un script Python malicioso conocido como <strong>Remitente de redes sociales<\/strong> se anuncia como una forma para que los actores de amenazas env\u00eden mensajes masivos de smishing abusando del servicio de notificaci\u00f3n simple de Amazon Web Services (AWS) (<a rel=\"nofollow noopener\" href=\"https:\/\/aws.amazon.com\/sns\/\" target=\"_blank\">redes sociales<\/a>).<\/p>\n<p>Los mensajes SMS de phishing est\u00e1n dise\u00f1ados para propagar enlaces maliciosos que est\u00e1n dise\u00f1ados para capturar la informaci\u00f3n de identificaci\u00f3n personal (PII) de las v\u00edctimas y los detalles de la tarjeta de pago, SentinelOne <a rel=\"nofollow noopener\" href=\"https:\/\/www.sentinelone.com\/labs\/sns-sender-active-campaigns-unleash-messaging-spam-through-the-cloud\/\" target=\"_blank\">dicho<\/a> en un nuevo informe, atribuy\u00e9ndolo a un actor de amenazas llamado ARDUINO_DAS.<\/p>\n<p>&#8220;Las estafas de smishing a menudo adoptan la apariencia de un mensaje del Servicio Postal de los Estados Unidos (USPS) sobre la entrega de un paquete perdido&#8221;, dijo el investigador de seguridad Alex Delamotte.<\/p>\n<p>SNS Sender es tambi\u00e9n la primera herramienta observada en el mercado que aprovecha AWS SNS para realizar ataques de spam por SMS.  SentinelOne dijo que identific\u00f3 v\u00ednculos entre ARDUINO_DAS y m\u00e1s de 150 kits de phishing puestos a la venta.<\/p>\n<p>El malware requiere una lista de enlaces de phishing almacenados en un archivo llamado links.txt en su directorio de trabajo, adem\u00e1s de una lista de claves de acceso de AWS, los n\u00fameros de tel\u00e9fono a los que se dirige, el ID del remitente (tambi\u00e9n conocido como nombre para mostrar) y el contenido de el mensaje.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/delinea728\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1708073801_870_Red-del-gobierno-estatal-de-EE-UU-violada-a-traves.jpg\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>La inclusi\u00f3n obligatoria del ID del remitente para enviar mensajes de texto fraudulentos es digna de menci\u00f3n porque la compatibilidad con los ID del remitente var\u00eda de un pa\u00eds a otro.  Esto sugiere que el autor de SNS Sender probablemente provenga de un pa\u00eds donde la identificaci\u00f3n del remitente es una pr\u00e1ctica convencional.<\/p>\n<p>&#8220;Por ejemplo, los operadores de Estados Unidos no admiten ning\u00fan ID de remitente, pero los operadores de la India exigen que los remitentes utilicen ID de remitente&#8221;, dijo Amazon. <a rel=\"nofollow noopener\" href=\"https:\/\/docs.aws.amazon.com\/sns\/latest\/dg\/channels-sms-awssupport-sender-id.html\" target=\"_blank\">dice<\/a> en su documentaci\u00f3n.<\/p>\n<p>Hay evidencia que sugiere que esta operaci\u00f3n puede haber estado activa desde al menos julio de 2022, seg\u00fan los registros bancarios que contienen referencias a ARDUINO_DAS que se han compartido en foros de tarjetas como <a rel=\"nofollow noopener\" href=\"https:\/\/craxpro.io\/threads\/bank-logs.56226\/\" target=\"_blank\">CraxPro<\/a>.<\/p>\n<p>Una gran mayor\u00eda de los kits de phishing tienen como tema el USPS, y las campa\u00f1as dirigen a los usuarios a p\u00e1ginas falsas de seguimiento de paquetes que solicitan a los usuarios que introduzcan su informaci\u00f3n personal y de tarjeta de cr\u00e9dito\/d\u00e9bito, como lo demuestra el investigador de seguridad @JCyberSec_ en X (anteriormente Twitter) en principios de septiembre de 2022.<\/p>\n<p>&#8220;\u00bfCrees que el actor que los implementa sabe que todos los kits tienen una puerta trasera oculta que env\u00eda los registros a otro lugar?&#8221;, a\u00f1adi\u00f3 el investigador. <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/JCyberSec_\/status\/1567874393103007747\" target=\"_blank\">anotado<\/a>.<\/p>\n<p>En todo caso, el desarrollo representa los intentos continuos de los actores de amenazas a los productos b\u00e1sicos de explotar los entornos de nube para campa\u00f1as de smishing.  En abril de 2023, Permiso <a rel=\"nofollow noopener\" href=\"https:\/\/permiso.io\/blog\/s\/smishing-attack-on-aws-sms-new-phone-who-dis\/\" target=\"_blank\">revel\u00f3<\/a> un cl\u00faster de actividad que aprovech\u00f3 las claves de acceso de AWS previamente expuestas para infiltrarse en los servidores de AWS y enviar mensajes SMS mediante SNS.<\/p>\n<p>Los hallazgos tambi\u00e9n siguen al descubrimiento de un nuevo dropper con nombre en c\u00f3digo TicTacToe que probablemente se vende como un servicio a actores de amenazas y se ha observado que se utiliza para propagar una amplia variedad de ladrones de informaci\u00f3n y troyanos de acceso remoto (RAT) dirigidos a usuarios de Windows a lo largo de 2023.<\/p>\n<p>Fortinet FortiGuard Labs, que <a rel=\"nofollow noopener\" href=\"https:\/\/www.fortinet.com\/blog\/threat-research\/tictactoe-dropper\" target=\"_blank\">arrojar luz sobre el malware<\/a>dijo que se implementa mediante una cadena de infecci\u00f3n de cuatro etapas que comienza con un archivo ISO incrustado en los mensajes de correo electr\u00f3nico.<\/p>\n<p>Otro ejemplo relevante de actores de amenazas que innovan continuamente en sus t\u00e1cticas es el uso de redes publicitarias para organizar campa\u00f1as de spam efectivas e implementar malware como DarkGate.<\/p>\n<div class=\"check_two clear bobbob\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thehackernews.uk\/tcepdHrZ\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La seguridad cibern\u00e9tica\" src=\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/02\/1707935543_510_La-herramienta-comando-no-encontrado-de-Ubuntu-podria-enganar-a.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;El actor de amenazas envi\u00f3 enlaces a trav\u00e9s de una red publicitaria para evadir la detecci\u00f3n y capturar an\u00e1lisis sobre sus v\u00edctimas&#8221;, HP Wolf Security <a rel=\"nofollow noopener\" href=\"https:\/\/threatresearch.ext.hp.com\/hp-wolf-security-threat-insights-report-q4-2023\/\" target=\"_blank\">dicho<\/a>.  &#8220;Las campa\u00f1as se iniciaron a trav\u00e9s de archivos adjuntos PDF maliciosos que se hac\u00edan pasar por mensajes de error de OneDrive, lo que conduc\u00eda al malware&#8221;.<\/p>\n<p>La divisi\u00f3n de seguridad de la informaci\u00f3n del fabricante de PC tambi\u00e9n destac\u00f3 el uso indebido de plataformas leg\u00edtimas como Discord para organizar y distribuir malware, una tendencia que se ha vuelto cada vez m\u00e1s com\u00fan en los \u00faltimos a\u00f1os, lo que llev\u00f3 a la compa\u00f1\u00eda a cambiar a enlaces de archivos temporales a finales del a\u00f1o pasado.<\/p>\n<p>&#8220;Discord es conocido por su infraestructura robusta y confiable, y goza de gran confianza&#8221;, Intel 471 <a rel=\"nofollow noopener\" href=\"https:\/\/intel471.com\/blog\/how-discord-is-abused-for-cybercrime\" target=\"_blank\">dicho<\/a>.  &#8220;Las organizaciones a menudo incluyen Discord en la lista blanca, lo que significa que los enlaces y conexiones a \u00e9l no est\u00e1n restringidos. Esto hace que su popularidad entre los actores de amenazas no sea sorprendente dada su reputaci\u00f3n y su uso generalizado&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">\u00bfEncontr\u00f3 interesante este art\u00edculo?  Siga con nosotros <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Gorjeo <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  y <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> para leer m\u00e1s contenido exclusivo que publicamos.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2024\/02\/malicious-sns-sender-script-abuses-aws.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-es-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80216 de febrero de 2024\ue804Sala de redacci\u00f3nAmenaza cibern\u00e9tica \/ Seguridad en la nube Un script Python malicioso conocido<\/p>\n","protected":false},"author":1,"featured_media":1188725,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[9],"tags":[10366,4657,4656,2346,4661,26662,4664,4662,4668,201033,6210,7401,4654,201031,4659,4653,4655,18,1920,157236,4666,4665,114185,161840,157872,201032,4660],"class_list":["post-1188724","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-abusa","tag-actualizaciones-ciberneticas","tag-actualizaciones-de-seguridad-cibernetica","tag-ataques","tag-ataques-ciberneticos","tag-aws","tag-como-hackear","tag-filtracion-de-datos","tag-la-seguridad-informatica","tag-las-noticias-de-los-piratas-informaticos","tag-malicioso","tag-masivos","tag-noticias-ciberneticas","tag-noticias-de-piratas-informaticos","tag-noticias-de-pirateria","tag-noticias-de-seguridad-cibernetica","tag-noticias-de-seguridad-cibernetica-hoy","tag-para","tag-realizar","tag-script","tag-seguridad-de-informacion","tag-seguridad-de-la-red","tag-sender","tag-smishing","tag-sns","tag-software-malicioso-ransomware","tag-vulnerabilidad-de-software"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1188724","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/comments?post=1188724"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/posts\/1188724\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media\/1188725"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/media?parent=1188724"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/categories?post=1188724"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/es\/wp-json\/wp\/v2\/tags?post=1188724"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}