Un script Python malveillant appelé Expéditeur SNS est présenté comme un moyen permettant aux acteurs malveillants d’envoyer des messages de smishing en masse en abusant du service de notification simple d’Amazon Web Services (AWS) (Réseaux sociaux).
Les messages de phishing par SMS sont conçus pour propager des liens malveillants conçus pour capturer les informations personnelles identifiables (PII) et les détails de la carte de paiement des victimes, SentinelOne. dit dans un nouveau rapport, l’attribuant à un acteur menaçant nommé ARDUINO_DAS.
« Les escroqueries par smishing prennent souvent la forme d’un message du service postal des États-Unis (USPS) concernant une livraison de colis manquée », a déclaré le chercheur en sécurité Alex Delamotte.
SNS Sender est également le premier outil observé dans la nature qui exploite AWS SNS pour mener des attaques de spam par SMS. SentinelOne a déclaré avoir identifié des liens entre ARDUINO_DAS et plus de 150 kits de phishing proposés à la vente.
Le malware nécessite une liste de liens de phishing stockés dans un fichier nommé links.txt dans son répertoire de travail, en plus d’une liste de clés d’accès AWS, des numéros de téléphone à cibler, de l’ID de l’expéditeur (alias nom d’affichage) et du contenu de le message.
L’inclusion obligatoire de l’identifiant de l’expéditeur pour l’envoi de textes frauduleux est remarquable car la prise en charge des identifiants de l’expéditeur varie d’un pays à l’autre. Cela suggère que l’auteur de SNS Sender est probablement originaire d’un pays où l’identification de l’expéditeur est une pratique conventionnelle.
« Par exemple, les opérateurs aux États-Unis ne prennent pas du tout en charge les identifiants d’expéditeur, mais les opérateurs en Inde exigent que les expéditeurs utilisent des identifiants d’expéditeur », Amazon dit dans sa documentation.
Il existe des preuves suggérant que cette opération pourrait être active depuis au moins juillet 2022, d’après les journaux bancaires contenant des références à ARDUINO_DAS qui ont été partagés sur des forums de cartes comme CraxPro.
Une grande majorité des kits de phishing sont sur le thème de l’USPS, les campagnes dirigeant les utilisateurs vers de fausses pages de suivi des colis qui les invitent à saisir leurs informations personnelles et celles de leur carte de crédit/débit, comme en témoigne le chercheur en sécurité @JCyberSec_ sur X (anciennement Twitter) dans début septembre 2022.
« Pensez-vous que l’acteur qui déploie sait que tous les kits ont une porte dérobée cachée qui envoie les journaux vers un autre endroit ? », poursuit le chercheur. noté.
Au contraire, ce développement représente les tentatives continues des acteurs de la menace des produits de base d’exploiter les environnements cloud pour des campagnes de smishing. En avril 2023, Permiso révélé un cluster d’activités qui a profité des clés d’accès AWS précédemment exposées pour infiltrer les serveurs AWS et envoyer des messages SMS à l’aide de SNS.
Les résultats font également suite à la découverte d’un nouveau compte-gouttes nommé TicTacToe, probablement vendu comme service à des acteurs malveillants et qui a été observé comme étant utilisé pour propager une grande variété de voleurs d’informations et de chevaux de Troie d’accès à distance (RAT) ciblant les utilisateurs de Windows tout au long de l’année 2023.
Fortinet FortiGuard Labs, qui faire la lumière sur le malwarea déclaré qu’il est déployé au moyen d’une chaîne d’infection en quatre étapes qui commence par un fichier ISO intégré dans les messages électroniques.
Un autre exemple pertinent d’acteurs malveillants qui innovent continuellement dans leurs tactiques concerne l’utilisation de réseaux publicitaires pour organiser des campagnes de spam efficaces et déployer des logiciels malveillants tels que DarkGate.
« L’acteur malveillant a créé des liens via un réseau publicitaire pour échapper à la détection et capturer des analyses sur ses victimes », HP Wolf Security dit. « Les campagnes ont été lancées via des pièces jointes PDF malveillantes se faisant passer pour des messages d’erreur OneDrive, conduisant au malware. »
La branche infosec du fabricant de PC a également souligné l’utilisation abusive de plates-formes légitimes comme Discord pour créer et distribuer des logiciels malveillants, une tendance qui est devenue de plus en plus courante ces dernières années, incitant l’entreprise à passer à des liens de fichiers temporaires d’ici la fin de l’année dernière.
« Discord est connu pour son infrastructure robuste et fiable, et il jouit d’une grande confiance », Intel 471 dit. « Les organisations autorisent souvent Discord sur liste, ce qui signifie que les liens et les connexions vers celui-ci ne sont pas restreints. Cela rend sa popularité parmi les acteurs malveillants sans surprise compte tenu de sa réputation et de son utilisation généralisée. »